IAM 用户的服务特定凭证
服务特定凭证是为特定 AWS 服务设计的专用身份验证机制。与标准 AWS 凭证相比,这些凭证提供简化的身份验证,并且是根据个别 AWS 服务的身份验证要求量身定制的。与可以跨多个 AWS 服务使用的访问密钥不同,服务特定凭证仅设计用于为其创建的服务。此针对性的方法通过限制凭证的范围来增强安全性。
服务特定凭证通常由用户名和密码对或根据特定服务的要求格式化的专用 API 密钥组成。创建服务特定凭证时,这些凭证默认处于活动状态,可以立即使用。针对每个 IAM 用户的每个受支持服务,最多可拥有两组服务特定凭证。此限制允许您在需要时轮换到新集合时保留一个活动集。AWS 当前支持以下服务的服务特定凭证:
轮换服务特定凭证
作为最佳安全实践,请定期轮换服务特定凭证。要在不中断应用程序的情况下轮换证书,请执行下面的操作:
-
为同一服务和 IAM 用户创建第二组服务特定凭证
-
更新所有应用程序以使用新凭证并验证它们是否正常工作
-
将原始凭证的状态更改为“非活跃”
-
验证所有应用程序是否仍正常运行
-
当确信不再需要非活跃服务特定凭证时,请删除它们
监控服务特定凭证
您可以使用 AWS CloudTrail 来监控 AWS 账户中服务特定凭证的使用情况。要查看与服务特定凭证使用情况相关的 CloudTrail 事件,请查看 CloudTrail 日志中有关使用凭证的服务的事件。有关更多信息,请参阅 使用 AWS CloudTrail 记录 IAM 和 AWS STS API 调用。
为了提高安全性,请考虑设置 CloudWatch 警报,以便通知您可能表明未经授权访问或其他安全问题的特定凭证使用模式。有关更多信息,请参阅《AWS CloudTrail 用户指南》中的 Monitoring CloudTrail Log Files with Amazon CloudWatch Logs。
以下主题提供有关服务特定凭证的信息。
