Уведомлять пользователей IAM об истечении срока действия пароля / ключей доступа

Question

Извините, может быть простой вопрос, но не смог найти решение.Я пытаюсь найти решение, чтобы уведомить всех пользователей AWS IAM об истечении срока действия их пароля и ключей доступа.Есть ли способ сделать это через консоль или с помощью некоторого сценария Python.

Пользователь IAM должен получить почту как минимум до недели, когда истечет срок действия его пароля IAM и ключей доступа.

Спасибо за чтение.

Answer 1

Для паролей вы можете использовать API-вызов GetCredentialReport.Там вы найдете password_next_rotation:

Когда для учетной записи используется политика паролей, которая требует ротации паролей, это поле содержит дату и время в формате даты-времени ISO 8601, когда пользовательТребуется установить новый пароль.Значение для учетной записи AWS (root) всегда not_supported.

Используя эту информацию, вы можете написать скрипт для отправки этих электронных писем (при условии, что вы пометили своих пользователей с их адресами электронной почты в IAM)

Доступно в boto3: get_credential_report().

Обратите внимание, что ключи доступа не имеют срока действия.

Answer 2

Напишите скрипт, который выполняется по регулярному расписанию (например, вы можете сделать это с помощью запланированной лямбды).

Call get_credential_report , чтобы узнать, как долго истекает срок действия паролей IAM, и вызвать list_access_keys , чтобы увидеть, когда были созданы ключи доступа (и, следовательно, рассчитать, когда их нужно повернуть).

Примечание. Консоль управления AWS предупреждает пользователей IAM, когда они находятся в течение 15 дней после истечения срока действия пароля.