IAM Credential Report(IAM 憑證報告) 是 AWS 身分與存取管理 (IAM) 中一項非常基礎且重要的稽核工具。
一句話總結:它是一份可以下載的 CSV 檔案(Excel 表格),裡面列出了你 AWS 帳號中「所有使用者 (Users)」的帳號安全狀態,包括他們是否有設密碼、有沒有開 MFA、以及 Access Key 多久沒換了。
這通常是資安稽核員(Auditor)進場檢查時,要求看到的第一份文件。
1. 核心功能與內容 (What's inside?)
這份報告會列出帳號內每一個 IAM User(包含 Root 帳號)的以下資訊:
- 使用者資訊:User Name, ARN。
- 密碼狀態 (Password):是否已啟用密碼?上次使用密碼的時間?上次更改密碼的時間 (Last Rotated)?(用來抓誰幾百年沒換密碼)
- 多因素驗證 (MFA):MFA 是否啟用 (MFA Active)?(這是最常檢查的項目,Root 沒開 MFA 會被打屁股)。
- 存取金鑰 (Access Keys):Access Key 1 & 2 是否啟用?上次輪替 (Rotate) 的時間?上次使用 (Last Used) 的時間?(用來抓出閒置或無效的 Key)。
2. 使用場景 (Use Cases)
- 合規性稽核 (Compliance Auditing):公司規定每 90 天必須更換密碼和 Access Key。你如何知道誰沒換?→→ 下載 Credential Report,用 Excel 篩選日期,馬上抓出違規者。
- 尋找殭屍帳號 (Zombie Accounts):發現某個 User 的密碼和 Key 已經 365 天沒被使用過了。→→ 代表該員工可能離職了,或者這是一個被遺忘的測試帳號,應該立即刪除以策安全。
- MFA 檢查:快速掃描全公司還有誰沒開啟 MFA。
3. 如何產生? (How to generate)
- AWS Console:去 IAM 介面 →→ 左側選單 "Credential report" →→ 點擊 "Download Report"。
- AWS CLI:aws iam generate-credential-report (產生報告,AWS 需要幾秒鐘生成)。aws iam get-credential-report (下載報告)。
4. 超級比一比:Credential Report vs. Access Advisor
這兩個名字很像,都在 IAM 裡,但用途完全不同,考試非常愛考:
- Credential Report 告訴你:這把鑰匙(密碼/Key)是不是舊的?
- Access Advisor 告訴你:這把鑰匙是用來開哪扇門(S3, EC2)的?如果他從來不開 EC2 的門,你就該把 EC2 的權限拔掉。
5. 考試關鍵字 (Keywords)
- List all users and status of their credentials (列出所有使用者及其憑證狀態)。
- Audit if MFA is enabled for all users (稽核是否所有人都開了 MFA)。
- Check when passwords/access keys were last rotated (檢查密碼/金鑰上次輪替的時間)。
- CSV format (CSV 格式)。
- Compliance check (合規性檢查)。
總結
如果題目問:「資安官要求一份報告,要確認所有員工都啟用了 MFA,並且每 90 天更換一次 Access Key」,答案就是 IAM Credential Report。
