AWS 访问密钥的自动轮换答案

【问题标题】：Automatic rotation of AWS access keysAWS 访问密钥的自动轮换
【发布时间】：2021-01-02 18:11:04
【问题描述】：

我正在寻找为一组用户自动轮换访问密钥（AWS 凭证）的方法。有一个单独的过程可以创建访问密钥。我需要能够以自动方式轮换密钥。这个link 解释了一种为特定用户执行此操作的方法。我如何能够为用户列表实现这一目标。有什么想法或建议吗？

【问题讨论】：

修改代码以在您的用户列表上循环运行。您想通过 CloudWatch 规则定期执行此操作，还是手动启动轮换？
我希望此进程在访问密钥使用期限超过 90 天时运行
为什么不让它们每 90 天自动过期，然后他们可以通过管理控制台自己生成新的？
它们如何自动过期？有没有这样的设置？此外，重新创建新密钥也需要自动化
在查看代码之前，我会问：“您将如何分发新密钥？您如何知道何时禁用旧密钥？当前如何使用密钥（它们是用于应用程序的吗？，或者它们是否被人们使用）？这些系统上的密钥将如何更新？答案可能会影响您实施轮换的方式。

【解决方案1】：

访问密钥通常用于应用程序的编程访问。如果这些应用程序正在运行，EC2 表示，您应该使用roles for EC2。这将在为您自动轮换的实例上安装临时凭证。 AWS CLI 和 SDK 知道如何自动检索这些凭证，因此您也无需在应用程序中添加它们。

其他计算解决方案（Lambda、ECS/EKS）也有办法为应用程序配置角色。

【讨论】：

【解决方案2】：

您可以使用 AWS Config 将旧访问密钥标记为不合规 (https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)，然后使用 CloudWatch Events (my article how to do this) 运行 Lambda 函数，删除旧密钥，创建新密钥，然后发送给用户。

【讨论】：