Rotação periódica de chaves de acesso
Cenário
Os usuários empresariais geralmente usam chaves de acesso (AK/SKs) para acessar recursos da nuvem por meio de APIs. Eles são aconselhados a fazer com que as chaves de acesso sejam giradas automaticamente para reduzir os possíveis riscos de segurança.
Esta seção orienta você pela rotação de chaves de acesso chamando APIs. Você também pode automatizar a rotação de chaves de acesso usando métodos programáticos.
Pré-requisitos
Antes de executar operações nas chaves de acesso de outro usuário do IAM como administrador, certifique-se de que você tenha recebido a função de Security Administrator. Se você executará operações em suas próprias chaves de acesso como um usuário do IAM, não precisará de nenhuma permissão especial atribuída.
Procedimento geral
As etapas a seguir estão envolvidas na rotação periódica de suas chaves de acesso:
- Crie uma chave de acesso.
- Consulte a hora em que todas as suas chaves de acesso ou uma chave de acesso específica são criadas e determine se elas precisam ser rotacionadas.
- Crie uma nova chave de acesso.
- Exclua a chave de acesso anterior.
As seguintes APIs serão usadas neste exemplo:
Etapa 1: criar uma chave de acesso permanente
URI: POST /v3.0/OS-CREDENTIAL/credentials
Para obter detalhes sobre a API, consulte Criação de uma chave de acesso permanente.
- Exemplo de solicitação
POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials{ "credential": { "description": "IAMDescription", "user_id": "07609fb9358010e21f7bc003751..." } }
- Exemplo de resposta
{ "credential": { "access": "P83EVBZJMXCYTMUII...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "IAMDescription", "secret": "TTqAHPbhWorg9ozx8Dv9MUyzYnOKDppxzHt...", "status": "active" }
Etapa 2: consultar a hora de criação de uma chave de acesso especificada ou de todas as chaves de acesso
- Consulte o tempo de criação de todas as chaves de acesso.
URI: GET /v3.0/OS-CREDENTIAL/credentials
Para obter detalhes sobre a API, consulte Consulta de chaves de acesso permanentes.
- Exemplo de solicitação
Usuário do IAM: usar a seguinte API para consultar o tempo de criação de todas as suas chaves de acesso.
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentialsAdministrador: usar a API a seguir para consultar o tempo de criação de todas as chaves de acesso de outro usuário do IAM. (076… indica o ID do usuário a ser consultado.)
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials?user_id=076... - Exemplo de resposta
{ "credentials": [ { "access": "LOSZM4YRVLKOY9E8X...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc0037...", "description": "", "status": "active" }, { "access": "P83EVBZJMXCYTMU...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "", "status": "active" } ] }
- Exemplo de solicitação
- Consulte a hora de criação de uma chave de acesso especificada.
URI: GET /v3.0/OS-CREDENTIAL/credentials/{access_key}
Para obter detalhes sobre a API, consulte Consulta de uma chave de acesso permanente.
- Exemplo de solicitação
GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key}
- Exemplo de resposta
{ "credential": { "last_use_time": "2020-01-08T06:26:08.123059Z", "access": "LOSZM4YRVLKOY9E8...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc00375....", "description": "", "status": "active" } }
- Exemplo de solicitação
Etapa 3: criar uma nova chave de acesso
Etapa 4: excluir a chave de acesso anterior
URI: DELETE /v3.0/OS-CREDENTIAL/credentials/{access_key}
Para obter detalhes sobre a API, consulte Exclusão de uma chave de acesso permanente.
- Exemplo de solicitação
DELETE https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key}
