Поворот ключей доступа пользователя IAM

Question

У нас есть пользователь IAM (только программный доступ) с возрастом ключа доступа более 4 лет.S3 и SQS - единственные сервисы, активно используемые этим пользователем.Мы хотим повернуть ключ доступа, создав нового пользователя / политику.

Я создал нового пользователя, добавил его в группы, в которых находится старый пользователь, и получил те же политики.Я вижу последнюю активность как «Нет», что означает, что службы не используют этого пользователя.Я также создал новый ключ доступа для первого пользователя, и последнее действие не для этого.Может ли кто-нибудь помочь мне в том, что я должен сделать, чтобы все приложения использовали этот новый ключ доступа вместо старого, чтобы я мог его удалить.

Политика:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "aws-portal:*",
        "iam:*"
      ],
      "Resource": "*"
    }
  ]
}

Answer 1

AWS рекомендует регулярно менять ключи доступа. Хотя, если вы хотите повернуть ключи доступа сейчас, нет необходимости создавать нового пользователя IAM.

Вы можете повернуть существующие ключи доступа следующим образом, как показано в ссылке ниже:

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey

Нет способа передать существующие ключи доступа новому пользователю. Ключи генерируются автоматически на последнем этапе создания нового пользователя.

Также необходимо обновить приложения, использующие ключи доступа, но в вашем случае вы используете EC2, ELB, S3, SES, которые по умолчанию будут принимать новые ключи доступа при доступе через CLI.