Hasilkan laporan kredensi untuk Anda Akun AWS - AWS Identity and Access Management
Izin yang diperlukanMemahami format laporanMendapatkan laporan kredensial (konsol)Mendapatkan laporan kredensial (AWS CLI)Mendapatkan laporan kredensial (API AWS )

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Hasilkan laporan kredensi untuk Anda Akun AWS

Anda dapat membuat dan mengunduh laporan kredensialy ang mencantumkan semua pengguna di akun Anda dan status berbagai kredensial mereka, termasuk kata sandi, access key, dan perangkat MFA. Anda bisa mendapatkan laporan kredensi dari Konsol Manajemen AWS, Alat Baris Perintah AWS SDKsdan, atau API IAM.

catatan

Laporan kredensi IAM hanya mencakup kredenal yang dikelola oleh IAM berikut: kata sandi, dua kunci akses pertama per pengguna, perangkat MFA, dan sertifikat penandatanganan X.509. Laporan tersebut tidak menyertakan kredensi khusus layanan (seperti kata sandi CodeCommit atau kunci API jangka panjang Amazon Bedrock) atau kunci akses pengguna lain di luar dua yang pertama. Untuk visibilitas kredenal lengkap, gunakan dan. ListServiceSpecificCredentialsListAccessKeys APIs

Anda dapat menggunakan laporan kredensial untuk membantu upaya audit dan kepatuhan Anda. Anda dapat menggunakan laporan untuk mengaudit efek persyaratan siklus hidup kredenal, seperti kata sandi dan pembaruan kunci akses. Anda dapat memberikan laporan ke audit eksternal, atau memberikan izin kepada auditor sehingga dia dapat mengunduh laporan secara langsung.

Anda dapat membuat laporan kredensial sesering sekali setiap empat jam. Saat Anda meminta laporan, IAM terlebih dahulu memeriksa apakah laporan untuk laporan Akun AWS telah dibuat dalam empat jam terakhir. Jika demikian, laporan terbaru diunduh. Jika laporan terbaru untuk akun tersebut lebih lama dari empat jam, atau jika tidak ada laporan sebelumnya untuk akun tersebut, IAM akan membuat dan mengunduh laporan baru.

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dan mengunduh laporan:

  • Untuk membuat laporan kredensial: iam:GenerateCredentialReport

  • Untuk mengunduh laporan: iam:GetCredentialReport

Memahami format laporan

Laporan kredensial diformat sebagai file nilai yang dipisahkan oleh koma (CSV). Anda dapat membuka file CSV dengan perangkat lunak spreadsheet biasa untuk melakukan analisis, atau Anda dapat membuat aplikasi yang menggunakan file CSV secara terprogram dan melakukan analisis kustom.

File CSV berisi kolom berikut:

pengguna

Nama pengguna yang ramah.

arn

Amazon Resource Name (ARN) dari pengguna. Untuk informasi lebih lanjut tentang ARNs, lihatIAM ARNs.

user_creation_time

Tanggal dan waktu saat pengguna dibuat, dalam Format tanggal-waktu ISO 8601.

password_enabled

Ketika pengguna memiliki kata sandi, nilai ini adalah TRUE. Jika tidak, nilainya FALSE. Nilai ini FALSE untuk akun anggota baru yang dibuat sebagai bagian dari organisasi Anda karena mereka tidak memiliki kredensi pengguna root secara default.

password_last_used

Tanggal dan waktu ketika kata sandi Pengguna root akun AWS atau pengguna terakhir digunakan untuk masuk ke AWS situs web, dalam format tanggal-waktu ISO 8601. AWS situs web yang menangkap waktu masuk terakhir pengguna adalah Konsol Manajemen AWS, Forum AWS Diskusi, dan AWS Marketplace. Ketika kata sandi digunakan lebih dari sekali dalam rentang 5 menit, hanya penggunaan pertama yang dicatat dalam bidang ini.

  • Nilai dalam kolom ini adalah no_information dalam kasus ini:

    • Kata sandi pengguna belum pernah digunakan.

    • Tidak ada data masuk yang terkait dengan kata sandi, seperti saat kata sandi pengguna belum digunakan setelah IAM mulai melacak informasi ini pada tanggal 20 Oktober 2014.

  • Nilai dalam kolom ini adalah N/A (tidak berlaku) jika pengguna tidak memiliki kata sandi.

penting

Karena masalah layanan, data penggunaan terakhir kata sandi tidak mencakup penggunaan kata sandi dari tanggal 3 Mei 2018 22.50 PDT hingga 23 Mei 2018 14.08 PDT. Hal ini memengaruhi tanggal masuk terakhir yang ditampilkan di konsol IAM dan tanggal penggunaan terakhir kata sandi di Laporan kredensial IAM, dan dikembalikan oleh GetUser Operasi API. Jika pengguna masuk selama waktu yang terpengaruh, tanggal terakhir kali menggunakan kata sandi yang dikembalikan adalah tanggal pengguna terakhir masuk sebelum 3 Mei 2018. Untuk pengguna yang masuk setelah 23 Mei 2018 14.08 PDT, tanggal penggunaan terakhir kata sandi yang dikembalikan adalah akurat.

Jika Anda menggunakan kata sandi informasi yang terakhir digunakan untuk mengidentifikasi kredensi yang tidak digunakan untuk penghapusan, seperti menghapus pengguna yang tidak masuk dalam 90 hari terakhir, kami sarankan Anda menyesuaikan jendela evaluasi Anda untuk menyertakan tanggal setelah 23 Mei 2018. AWS Atau, jika pengguna Anda menggunakan kunci akses untuk mengakses AWS secara terprogram, Anda dapat merujuk ke kunci akses informasi yang terakhir digunakan karena akurat untuk semua tanggal.

password_last_changed

Tanggal dan waktu saat kata sandi pengguna terakhir diatur, di Format tanggal-waktu ISO 8601. Jika pengguna tidak memiliki kata sandi, nilai dalam kolom ini adalah N/A (tidak berlaku).

password_next_rotation

Saat akun memiliki kebijakan kata sandi yang memerlukan rotasi kata sandi, kolom ini berisi tanggal dan waktu, dalam Format tanggal-waktu ISO 8601, saat pengguna diminta untuk mengatur kata sandi baru. Nilai untuk Akun AWS (root) selalunot_supported.

mfa_active

Saat perangkat autentikasi multi-factor (MFA) telah diaktifkan untuk pengguna, nilai ini adalah TRUE. Jika tidak, nilainya FALSE.

access_key_1_active

Saat pengguna memiliki access key dan status access key Active, nilainya TRUE Jika tidak, nilainya FALSE. Berlaku untuk pengguna root akun dan pengguna IAM.

access_key_1_last_rotated

Tanggal dan waktu, dalam Format tanggal-waktu ISO 8601, saat access key pengguna dibuat atau diubah terakhir. Jika pengguna tidak memiliki access key aktif, nilai dalam kolom ini adalah N/A (tidak berlaku). Berlaku untuk pengguna root akun dan pengguna IAM.

akses_key_1_last_used_date

Tanggal dan waktu, dalam Format tanggal-waktu ISO 8601, saat access key pengguna terakhir kali digunakan untuk menandatangani permintaan API AWS . Ketika access key digunakan lebih dari satu kali dalam rentang 15 menit, hanya penggunaan pertama yang dicatat dalam kolom ini. Berlaku untuk pengguna root akun dan pengguna IAM.

Nilai dalam kolom ini adalah N/A (tidak berlaku) dalam kasus ini:

  • Pengguna tidak memiliki access key.

  • Kunci akses belum pernah digunakan.

  • Kunci akses ini belum digunakan setelah IAM mulai melacak informasi ini pada 22 April 2015.

akses_key_1_last_used_region

Wilayah AWS yang access key-nya baru-baru ini digunakan. Ketika access key digunakan lebih dari satu kali dalam rentang 15 menit, hanya penggunaan pertama yang dicatat dalam kolom ini. Berlaku untuk pengguna root akun dan pengguna IAM.

Nilai dalam kolom ini adalah N/A (tidak berlaku) dalam kasus ini:

  • Pengguna tidak memiliki access key.

  • Kunci akses belum pernah digunakan.

  • Kunci akses terakhir digunakan sebelum IAM mulai melacak informasi ini pada 22 April 2015.

  • Layanan yang terakhir digunakan tidak spesifik Wilayah, seperti Amazon S3

akses_key_1_last_used_service

AWS Layanan yang paling baru diakses dengan kunci akses. Nilai di bidang ini menggunakan ruang nama layanan—misalnya, untuk Amazon s3 S3 dan untuk Amazon. ec2 EC2 Ketika access key digunakan lebih dari satu kali dalam rentang 15 menit, hanya penggunaan pertama yang dicatat dalam kolom ini. Berlaku untuk pengguna root akun dan pengguna IAM.

Nilai dalam kolom ini adalah N/A (tidak berlaku) dalam kasus ini:

  • Pengguna tidak memiliki access key.

  • Kunci akses belum pernah digunakan.

  • Kunci akses terakhir digunakan sebelum IAM mulai melacak informasi ini pada 22 April 2015.

access_key_2_active

Saat pengguna memiliki access key kedua dan status access key kedua adalah Active, nilainya TRUE. Jika tidak, nilainya FALSE. Berlaku untuk pengguna root akun dan pengguna IAM.

catatan

Pengguna dapat memiliki hingga dua tombol akses, untuk mempermudah rotasi dengan memperbarui kunci terlebih dahulu dan kemudian menghapus kunci sebelumnya. Untuk informasi selengkapnya tentang memperbarui kunci akses, lihatPerbarui kunci akses.

access_key_2_last_rotated

Tanggal dan waktu, dalam format tanggal-waktu ISO 8601, ketika kunci akses kedua pengguna dibuat atau terakhir diperbarui. Jika pengguna tidak memiliki access key aktif kedua, nilai dalam bidang ini adalah N/A (tidak berlaku). Berlaku untuk pengguna root akun dan pengguna IAM.

akses_key_2_last_used_date

Tanggal dan waktu, dalam format tanggal-waktu ISO 8601, ketika kunci akses kedua pengguna paling baru digunakan untuk menandatangani permintaan API. AWS Ketika access key digunakan lebih dari satu kali dalam rentang 15 menit, hanya penggunaan pertama yang dicatat dalam kolom ini. Berlaku untuk pengguna root akun dan pengguna IAM.

Nilai dalam kolom ini adalah N/A (tidak berlaku) dalam kasus ini:

  • Pengguna tidak memiliki access key kedua.

  • Kunci akses kedua pengguna belum pernah digunakan.

  • Kunci akses kedua pengguna terakhir digunakan sebelum IAM mulai melacak informasi ini pada 22 April 2015.

akses_key_2_last_used_region

Wilayah AWS yang access key keduanya baru-baru ini digunakan. Ketika access key digunakan lebih dari satu kali dalam rentang 15 menit, hanya penggunaan pertama yang dicatat dalam kolom ini. Berlaku untuk pengguna root akun dan pengguna IAM. Nilai dalam kolom ini adalah N/A (tidak berlaku) dalam kasus ini:

  • Pengguna tidak memiliki access key kedua.

  • Kunci akses kedua pengguna belum pernah digunakan.

  • Kunci akses kedua pengguna terakhir digunakan sebelum IAM mulai melacak informasi ini pada 22 April 2015.

  • Layanan yang terakhir digunakan tidak spesifik Wilayah, seperti Amazon S3

access_key_2_last_used_service

AWS Layanan yang paling baru diakses dengan kunci akses kedua pengguna. Nilai di bidang ini menggunakan ruang nama layanan—misalnya, untuk Amazon s3 S3 dan untuk Amazon. ec2 EC2 Ketika access key digunakan lebih dari satu kali dalam rentang 15 menit, hanya penggunaan pertama yang dicatat dalam kolom ini. Berlaku untuk pengguna root akun dan pengguna IAM. Nilai dalam kolom ini adalah N/A (tidak berlaku) dalam kasus ini:

  • Pengguna tidak memiliki access key kedua.

  • Kunci akses kedua pengguna belum pernah digunakan.

  • Kunci akses kedua pengguna terakhir digunakan sebelum IAM mulai melacak informasi ini pada 22 April 2015.

cert_1_active

Saat pengguna memiliki sertifikat tanda tangan X.509 dan status sertifikat tersebut adalah Active, nilainya adalah TRUE. Jika tidak, nilainya FALSE.

cert_1_last_rotated

Tanggal dan waktu, dalam Format tanggal-waktu ISO 8601, saat sertifikat penandaan pengguna dibuat atau terakhir diubah. Apabila pengguna tidak memiliki sertifikat penandatanganan aktif, nilai dalam kolom ini adalah N/A (tidak berlaku).

cert_2_active

Saat pengguna memiliki sertifikat tanda tangan X.509 kedua dan status sertifikat tersebut adalah Active, nilainya adalah TRUE. Jika tidak, nilainya FALSE.

catatan

Pengguna dapat memiliki hingga dua sertifikat tanda tangan X.509, untuk membuat rotasi sertifikat lebih mudah.

cert_2_last_rotated

Tanggal dan waktu, dalam Format tanggal-waktu ISO 8601, saat sertifikat tanda tangan kedua pengguna dibuat atau terakhir diubah. Apabila pengguna tidak memiliki sertifikat tanda tangan aktif kedua, nilai dalam bidang ini adalah N/A (tidak berlaku).

additional_credentials_info

Ketika pengguna memiliki lebih dari dua kunci akses atau sertifikat, nilai ini adalah jumlah kunci akses atau sertifikat tambahan dan tindakan yang dapat Anda gunakan untuk membuat daftar kunci akses atau sertifikat yang terkait dengan pengguna.

Mendapatkan laporan kredensial (konsol)

Anda dapat menggunakan file Konsol Manajemen AWS untuk mengunduh laporan kredensi sebagai file nilai yang dipisahkan koma (CSV).

Untuk mengunduh laporan kredensial (konsol)

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Laporan kredensial.

  3. Pilih Unduh Laporan.

Mendapatkan laporan kredensial (AWS CLI)

Untuk mengunduh laporan kredensial (AWS CLI)

  1. Menghasilkan laporan kredensional. AWS menyimpan satu laporan. Jika ada laporan, membuat laporan kredensial akan menimpa laporan sebelumnya. aws iam generate-credential-report

  2. Melihat laporan terakhir yang dihasilkan: aws iam get-credential-report

Mendapatkan laporan kredensial (API AWS )

Untuk mengunduh laporan kredensial (API)AWS

  1. Menghasilkan laporan kredensional. AWS menyimpan satu laporan. Jika ada laporan, membuat laporan kredensial akan menimpa laporan sebelumnya. GenerateCredentialReport

  2. Melihat laporan terakhir yang dihasilkan: GetCredentialReport