同一用户的多个访问密钥

Question

我发现我公司的 AWS 账户中启用了一个特定用户的编程访问权限。我的任务是为我的一位同事重新创建访问密钥和安全令牌，尽管他已经拥有了。我想停用原来的。我认为从安全角度来看，最好只有一个访问密钥/令牌，而不是多个。

谁能告诉我这是否是一个好的选择？我的一位同事问我为什么要这样做，当我告诉他我的推理时，我认为他并不 100% 相信我的推理是好的。您能否告诉我，同一用户拥有多个访问密钥/秘密密钥是否有任何优势？因为我想不出任何办法。另外，您能否提供任何类型的支持文章来涵盖这一点？

Answer 1

在AWS IAM 访问密钥最佳实践下，我相信这些部分适用：

• 不同的应用程序使用不同的访问密钥。执行此操作，以便您可以隔离权限，并在访问密钥泄露时撤销各个应用程序的访问密钥。为不同应用程序提供单独的访问密钥还会在 AWS CloudTrail 日志文件中生成不同的条目，这使您可以更轻松地确定哪个应用程序执行了特定操作。
• 定期轮换访问密钥。定期更改访问密钥。有关详细信息，请参阅 IAM 用户指南中的轮换访问密钥（AWS CLI、Windows PowerShell 工具和 AWS API）以及 AWS 安全博客上的如何轮换 IAM 用户的访问密钥。

第一项明确给出了对单个 IAM 账户使用多个访问密钥的原因。我认为使用多个键也会使第二项（键轮换）变得更容易。您可以创建第二个访问密钥集，切换应用程序，验证之前的密钥集不再用于访问 AWS API，然后删除旧的密钥集。