AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

查找未使用的凭证

为提高您的 AWS 账户的安全性,请删除不需要的 IAM 用户凭证 (即密码和访问密钥)。例如,当用户离开您的组织或不再需要访问 AWS 时,请找到用户所使用的凭证并确保这些凭证不再有效。理想情况下,如果不再需要凭证,可将其删除。您始终可在将来需要这些凭证时创建它们。您至少应该更改密码或停用访问密钥,使以前的用户不再具有访问权限。

当然,未使用 这个词可以有多种理解,但通常指在指定时段内没用过的凭证。

查找未使用的密码

您可以使用 AWS 管理控制台查看用户的密码使用信息。如果您有大量的用户,则您可以使用控制台下载包含有关每个用户上次使用其控制台密码的时间信息的凭证报告。您还可以从 AWS CLI、Windows PowerShell 工具 或 IAM API 访问信息。

查找未使用的密码 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 如有必要,请将 Console last sign-in 列添加到用户表中:

    1. 在最右侧的表上方,选择设置图标 (  设置图标 )。

    2. Manage Columns 中,选择 Console last sign-in

    3. 选择 Close 返回到用户列表。

  4. Console last sign-in 列显示自用户上次通过控制台登录 AWS 至今的天数。您可以利用该信息查找超过指定时间段未使用密码登录的用户。对于从未使用密码登录的用户,该列显示 NeverNone 表示没有密码的用户。最近未使用的密码可能适合做删除处理。

通过下载凭证报告查找未使用的密码 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Credential Report

  3. 选择 Download Report 以下载名为 status_reports_<date>T<time>.csv 的逗号分隔值 (CSV) 文件。第五列包含具有日期或下列项之一的 password_last_used 列:

    • N/A – 根本未获得密码的用户。

    • no_information – 自 IAM 在 2014 年 10 月 20 日开始跟踪密码使用期限以来未使用其密码的用户。

查找未使用的密码 (API、CLI、PowerShell)

您可以使用以下命令查找未使用的密码:

  • AWS CLIaws iam list-users返回用户列表,每个用户均有一个 PasswordLastUsed 值。如果缺少此值,则用户未获得密码或自 IAM 在 2014 年 10 月 20 日开始跟踪密码使用期限以来未使用密码。

     

  • Windows PowerShell 工具Get-IAMUsers返回 User 对象集合,每个对象均有一个 PasswordLastUsed 属性。如果此属性值是 1/1/0001 12:00:00 AM,则用户未获得密码或自 IAM 在 2014 年 10 月 20 日开始跟踪密码使用期限以来未使用密码。

     

  • IAM API ListUsers返回用户集合,每个用户均有一个 <PasswordLastUsed> 值。如果缺少此值,则用户未获得密码或自 IAM 在 2014 年 10 月 20 日开始跟踪密码使用期限以来未使用密码。

    有关用于下载凭证报告的命令的信息,请参阅获取凭证报告 (AWS CLI、Windows PowerShell 工具 或 IAM API)

查找未使用的访问密钥

您可以使用 AWS 管理控制台查看用户的访问密钥使用信息。如果您有大量的用户,则您可以使用控制台下载凭证报告,以查找每个用户上次使用其访问密钥的时间。您还可以从 AWS CLI、Windows PowerShell 工具 或 IAM API 访问信息。

查找未使用的访问密钥 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 如有必要,将 Access key last used 列添加到用户表中:

    1. 在最右侧的表上方,选择设置图标 (  设置图标 )。

    2. Manage Columns 中,选择 Access key last used

    3. 选择 Close 返回到用户列表。

  4. Access key last used 列显示用户上次以编程方式访问 AWS 以来经过的天数。您可以利用该信息查找超过指定时间段未使用访问密钥的用户。对于没有访问密钥的用户,该列显示 None。最近未使用的访问密钥可能适合做删除处理。

通过下载凭证报告来查找未使用的访问密钥 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Credential Report

  3. 选择 Download Report 以下载名为 status_reports_<date>T<time>.csv 的逗号分隔值 (CSV) 文件。列 11 至列 13 包含访问密钥 1 的上次使用日期、区域和服务信息;列 16 至列 18 包含访问密钥 2 的相同信息。如果用户没有访问密钥或用户自 IAM 在 2015 年 4 月 22 日开始跟踪访问密钥使用期限以来未使用访问密钥,则值为 N/A

查找未使用的访问密钥 (API、CLI、PowerShell)

您可以使用以下命令查找未使用的访问密钥:

AWS CLI
  • aws iam list-access-keys 返回有关用户的访问密钥的信息,包括 AccessKeyID

  • aws iam get-access-key-last-used 采用访问密钥 ID 并返回输出,包括 LastUsedDateRegion (上次在其中使用访问密钥) 和上一次请求的服务的 ServiceName。如果缺少 LastUsedDate 字段,则自 IAM 在 2015 年 4 月 22 日开始跟踪访问密钥使用期限以来未使用访问密钥。

     

Windows PowerShell 工具
  • Get-IAMAccessKey 返回与指定用户关联的访问密钥对象的集合。每个对象均具有一个 AccessKeyId 属性。

  • Get-IAMAccessKeyLastUsed 采用访问密钥 ID 并与返回带 AccessKeyLastUsed 属性对象的对象。该对象的方法包括 LastUsedDateRegion (上次在其中使用访问密钥) 和上次请求的服务的 ServiceName。如果属性值为 1/1/0001 12:00:00 AM,则自 IAM 在 2015 年 4 月 22 日开始跟踪访问密钥使用期限以来未使用访问密钥。

     

IAM API
  • ListAccessKeys 返回与指定用户关联的访问密钥的 AccessKeyID 值的列表。

  • GetAccessKeyLastUsed 采用访问密钥 ID 并返回值的集合。包括 LastUsedDateRegion (上次在其中使用访问密钥) 和上次请求的服务的 ServiceName。如果缺少此值,则用户未获得访问密钥或自 IAM 在 2015 年 4 月 22 日开始跟踪访问密钥使用期间以来未使用访问密钥。

有关用于下载凭证报告的命令的信息,请参阅获取凭证报告 (AWS CLI、Windows PowerShell 工具 或 IAM API)