管理 IAM 使用者的存取金鑰
重要
最佳實務的作法是使用臨時性安全憑證 (如 IAM 角色),而不是建立長期憑證 (如存取金鑰)。在建立存取金鑰前,請檢閱長期存取金鑰的替代方案。
存取金鑰是 IAM 使用者或 AWS 帳戶根使用者 的長期憑證。您可以使用存取金鑰,對 AWS CLI 或 AWS API 的程式設計請求進行簽署 (直接或使用 AWS SDK)。如需更多詳細資訊,請參閱 使用 AWS 安全憑證進行程式設計方式存取。
存取金鑰包含兩個部分:存取金鑰 ID (例如 AKIAIOSFODNN7EXAMPLE) 和私密存取金鑰 (例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。您必須一起使用存取金鑰 ID 和私密存取金鑰來驗證您的請求。
建立存取金鑰對時,將存取金鑰 ID 和私密存取金鑰儲存在安全位置。私密存取金鑰只能在您建立時擷取。如果您遺失了私密存取金鑰,則必須刪除該存取金鑰並新建一個。如需更多說明,請參閱 更新存取金鑰。
每位使用者最多可以擁有兩個存取金鑰。
重要
具有存取金鑰的 IAM 使用者可能給帳戶帶來安全風險。安全地管理存取金鑰。請勿將您的存取金鑰提供給未經授權的當事方,即便是協助尋找您的帳戶識別符也不妥。執行此作業,可能會讓他人能夠永久存取您的帳戶。
使用存取金鑰時,請注意下列事項:
-
請勿使用帳戶的根憑證來建立存取金鑰。
-
請勿將存取金鑰或憑證資訊放置在應用程式檔案中。
-
請勿將含有存取金鑰或憑證資訊的檔案包含在專案區域中。
-
儲存在共用 AWS 憑證檔案中的存取金鑰或憑證資訊以純文字形式儲存。
監控建議
建立存取金鑰之後:
-
使用 AWS CloudTrail 對存取金鑰使用情況進行監控,並偵測是否存在任何未經授權的存取嘗試。如需更多詳細資訊,請參閱 使用 AWS CloudTrail 記錄 IAM 和 AWS STS API 呼叫。
-
設定 CloudWatch 警示,以便通知管理員被拒絕的存取嘗試,協助偵測惡意活動。如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南。
-
視需要定期檢閱、更新和刪除存取金鑰。
下列主題將詳細說明與存取金鑰相關的管理任務。
