[英]How to notify IAM Users when Password/Access Keys expire?
我正在尝试找到一种解决方案,以在他们的密码和访问密钥过期时通知所有 AWS IAM 用户。 有没有办法通过控制台或一些 Python 脚本来做到这一点?
IAM 用户应至少在其 IAM 密码和访问密钥到期前一周收到一封邮件。
编写一个定期运行的脚本(例如,您可以使用预定的 Lambda 来执行此操作)。
调用get_credential_report以查看 IAM 密码将在多长时间内过期,并调用list_access_keys以查看何时创建访问密钥(并因此计算何时需要轮换)。
注意:AWS 管理控制台会在 IAM 用户在密码到期后 15 天内发出警告。
对于密码,您可以使用GetCredentialReport
API 调用。 在那里你会找到password_next_rotation
:
当帐户具有要求密码轮换的密码策略时,此字段包含日期和时间,采用 ISO 8601 日期时间格式,当用户需要设置新密码时。 AWS 账户 (root) 的值始终为 not_supported。
使用此信息,您可以编写一个脚本来发送这些电子邮件(假设您在 IAM 中使用他们的 email 地址标记了您的用户)
它在boto3
中可用: get_credential_report()
。
请注意,访问密钥不会过期。
这是我对一个简单的 bash 脚本的贡献,它可以帮助实现这一目标更容易
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.