ユユユユユ

webエンジニアです

90日に一度、AWSのアクセスキーをローテーションする

 AWS の個人アカウントに監査の仕組みを導入している。そのきっかけについては以前に書いた。

jnsato.hateblo.jp

  CIS AWS Foundations Benchmark を導入し、対応可能なセキュリティ対策を一通り有効化している。違反があれば AWS Chatbot 経由で Slack に通知されるようになっている。

 個人アカウントなので、基本的には滅多なことは起こらない。それが今日になって、突然アラートが発生した。

f:id:jnsato:20200619211332p:plain

 いわく、アクセスキーの発行から90日が経過したので、新しいアクセスキーにローテーションしなさい、とのこと。

 aws-vault を導入しており、アクセスキーの管理も移譲している。おかげで作業としてはこれだけで事足りる。

% aws-vault rotate home
Rotating credentials stored for profile 'home' using a session from profile 'home' (takes 10-20 seconds)
Creating a new access key
Created new access key ****************N3WK
Deleting old access key ****************0LDK
Deleted old access key ****************0LDK
Finished rotating access key

  総務省でさえパスワードの定期的な変更は不要としている のに、アクセスキーを変更する必要はあるのか? あるにしても、「90日おき」という目安に根拠はあるのか? などと気になってしまうところもある。とはいえ CIS という権威ある機関がそう設定している以上、黙って対応しておく。

 そもそも brew update ほどさえも時間がかからない。これだけ簡単に済ませられるのであれば、まったく苦ではない。