Quando usar credenciais específicas do serviço Troca de credenciais específicas do serviço Monitorar credenciais específicas do serviço

Credenciais específicas do serviço para usuários do IAM

Credenciais específicas do serviço são mecanismos de autenticação especializados criados para serviços específicos da AWS. Essas credenciais fornecem autenticação simplificada em comparação com as credenciais padrão da AWS e são ajustadas aos requisitos de autenticação de serviços individuais da AWS. Diferentemente das chaves de acesso, que podem ser usadas em vários serviços da AWS, as credenciais específicas do serviço destinam-se a ser usadas apenas com o serviço para o qual foram criadas. Essa abordagem direcionada aumenta a segurança por limitar o escopo das credenciais.

As credenciais específicas do serviço geralmente consistem em um par de nome de usuário e senha ou em chaves de API especializadas que são formatadas de acordo com os requisitos do serviço específico. Quando você cria credenciais específicas do serviço, elas estão ativas por padrão e podem ser usadas imediatamente. Você pode ter, no máximo, dois conjuntos de credenciais específicas do serviço para cada serviço compatível por usuário do IAM. Esse limite permite que você mantenha um conjunto ativo enquanto troca para um novo conjunto quando necessário. Atualmente, a AWS é compatível com credenciais específicas dos seguintes serviços:

Quando usar credenciais específicas do serviço

As credenciais específicas do serviço são destinadas à compatibilidade com bibliotecas, SDKs, ferramentas ou aplicações de terceiros que não são compatíveis nativamente com credenciais da AWS, AWS SDKs ou APIs da AWS. Esses casos de uso incluem migrar para a AWS serviços existentes em infraestrutura auto-hospedada ou serviços hospedados por outros provedores.

Ao começar do zero, e sempre que possível, recomendamos usar credenciais da AWS temporárias, como as fornecidas por um perfil do IAM, para se autenticar em um serviço da AWS usando um AWS SDK ou uma biblioteca que ofereça suporte a credenciais temporárias da AWS.

Troca de credenciais específicas do serviço

Como uma prática recomendada de segurança, troque as credenciais específicas do serviço regularmente. Para trocar as credenciais sem prejudicar as aplicações:

Crie um segundo conjunto de credenciais específicas do serviço para o mesmo serviço e usuário do IAM
Atualize todas a aplicações para que usem as novas credenciais e verifique se elas funcionam bem
Altere o status das credenciais originais para "Inativas"
Verifique se todas as aplicações continuam a funcionar adequadamente
Exclua as credenciais específicas do serviço inativas quando tiver certeza de que não são mais necessárias

Monitorar credenciais específicas do serviço

Você pode usar o AWS CloudTrail para monitorar o uso de credenciais específicas do serviço em sua conta da AWS. Para visualizar os eventos do CloudTrail relacionados ao uso das credenciais específicas do serviço, revise os logs do CloudTrail para verificar os eventos do serviço nos quais as credenciais são usadas. Para obter mais informações, consulte Registro em log de chamadas de API do IAM e do AWS STS com o AWS CloudTrail.

Para ter mais segurança, pense em configurar alarmes do CloudWatch que notifiquem sobre padrões específicos de uso das credenciais que possam indicar acesso não autorizado ou outras preocupações de segurança. Para obter mais informações, consulte Monitoring CloudTrail Log Files with Amazon CloudWatch Logs no AWS CloudTrail User Guide.

Os tópicos a seguir fornecem informações sobre credenciais específicas do serviço.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Código de exemplo: MFA

Chaves de API do Amazon Bedrock e o Amazon CloudWatch Logs