# 管理 IAM 用户的访问密钥。
<a name="id_credentials_access-keys"></a>

**重要**  
作为一项 [最佳实践](best-practices.md)，请使用临时安全凭证（例如 IAM 角色）而非创建访问密钥等长期凭证。在创建访问密钥之前，请认真阅读 [长期访问密钥的替代方法](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys)。

访问密钥是 IAM 用户或 AWS 账户根用户 的长期凭证。您可以使用访问密钥签署对 AWS CLI 或 AWS API 的编程请求（直接或使用 AWS 开发工具包）。有关更多信息，请参阅 [使用 AWS 安全凭证以编程方式进行访问](security-creds-programmatic-access.md)。

访问密钥包含两部分：访问密钥 ID（例如 `AKIAIOSFODNN7EXAMPLE`）和秘密访问密钥（例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`）。您必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。



当您创建访问密钥对时，将访问密钥 ID 和秘密访问密钥保存在一个安全位置。秘密访问密钥只能在创建密钥时检索到。如果您丢失了秘密访问密钥，则必须删除访问密钥并创建新的访问密钥。有关更多说明，请参阅 [更新访问密钥](id-credentials-access-keys-update.md)。

每个用户最多可有两个访问密钥。

**重要**  
拥有访问密钥的 IAM 用户存在账户安全风险。安全管理您的访问密钥。请不要向未经授权方提供访问密钥，即便是为了帮助[找到您的账户标识符](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)也不行。如果您这样做，可能会向某人提供对您的账户的永久访问权限。  
下面是使用访问密钥时需要注意的概念：  
**请勿**使用账户的根凭证来创建访问密钥。
**请勿**在应用程序文件中放置访问密钥或凭证信息。
**请勿**在项目区域中放置包含访问密钥或凭证信息的文件。
在共享 AWS 凭证中存储的访问密钥或凭证信息以明文形式存储。

## 监控建议
<a name="monitor-access-keys"></a>

创建访问密钥后：
+ 使用 AWS CloudTrail 监控访问密钥的使用情况，并检测任何未经授权的访问尝试。有关更多信息，请参阅 [使用 AWS CloudTrail 记录 IAM 和 AWS STS API 调用](cloudtrail-integration.md)。
+ 设置 CloudWatch 警报，在访问尝试被拒绝时通知管理员，帮助检测恶意活动。有关更多信息，请参阅《[Amazon CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)》。
+ 根据需要定期检查、更新和删除访问密钥。

以下主题详细介绍了与访问密钥相关的管理任务。

**Topics**
+ [监控建议](#monitor-access-keys)
+ [通过将内联策略附加到 IAM 用户，从而控制访问密钥的使用](access-keys_inline-policy.md)
+ [管理访问密钥所需的权限](access-keys_required-permissions.md)
+ [IAM 用户如何管理自己的访问密钥](access-key-self-managed.md)
+ [IAM 管理员如何管理 IAM 用户访问密钥](access-keys-admin-managed.md)
+ [更新访问密钥](id-credentials-access-keys-update.md)
+ [保护访问密钥](securing_access-keys.md)