本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理 IAM 使用者的存取金鑰
<a name="id_credentials_access-keys"></a>

**重要**  
[最佳實務](best-practices.md)的作法是使用臨時性安全憑證 (如 IAM 角色)，而不是建立長期憑證 (如存取金鑰)。在建立存取金鑰前，請檢閱[長期存取金鑰的替代方案](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys)。

存取金鑰是 IAM 使用者或 AWS 帳戶根使用者的長期憑證。您可以使用存取金鑰簽署對 AWS CLI 或 AWS API 的程式設計請求 （直接使用 AWS SDK)。如需詳細資訊，請參閱[使用 AWS 安全登入資料進行程式設計存取](security-creds-programmatic-access.md)。

存取金鑰包含兩個部分：存取金鑰 ID (例如 `AKIAIOSFODNN7EXAMPLE`) 和私密存取金鑰 (例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)。您必須一起使用存取金鑰 ID 和私密存取金鑰來驗證您的請求。



建立存取金鑰對時，將存取金鑰 ID 和私密存取金鑰儲存在安全位置。私密存取金鑰只能在您建立時擷取。如果您遺失了私密存取金鑰，則必須刪除該存取金鑰並新建一個。如需更多說明，請參閱 [更新存取金鑰](id-credentials-access-keys-update.md)。

每位使用者最多可以擁有兩個存取金鑰。

**重要**  
具有存取金鑰的 IAM 使用者可能給帳戶帶來安全風險。安全地管理存取金鑰。請勿將您的存取金鑰提供給未經授權的當事方，即便是協助[尋找您的帳戶識別符](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)也不妥。如果這麼做，就可能會讓他人能夠永久存取您的帳戶。  
使用存取金鑰時，請注意下列事項：  
**請勿**使用帳戶的根憑證來建立存取金鑰。
**請勿**將存取金鑰或憑證資訊放置在應用程式檔案中。
**請勿**將含有存取金鑰或憑證資訊的檔案包含在專案區域中。
存放在共用登入資料檔案中的存取金鑰或 AWS 登入資料資訊會以純文字儲存。

## 監控建議
<a name="monitor-access-keys"></a>

建立存取金鑰之後：
+ Use AWS CloudTrail 可監控存取金鑰使用情況，並偵測任何未經授權的存取嘗試。如需詳細資訊，請參閱[使用 記錄 IAM 和 AWS STS API 呼叫 AWS CloudTrail](cloudtrail-integration.md)。
+ 設定 CloudWatch 警示，以便通知管理員被拒絕的存取嘗試，協助偵測惡意活動。如需更多資訊，請參閱 [Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)。
+ 視需要定期檢閱、更新和刪除存取金鑰。

下列主題將詳細說明與存取金鑰相關的管理任務。

**Topics**
+ [監控建議](#monitor-access-keys)
+ [透過將內嵌政策連接至 IAM 使用者來控制存取金鑰的使用](access-keys_inline-policy.md)
+ [管理存取金鑰所需的許可](access-keys_required-permissions.md)
+ [IAM 使用者如何管理自己的存取金鑰](access-key-self-managed.md)
+ [IAM 管理員如何管理 IAM 使用者存取金鑰](access-keys-admin-managed.md)
+ [更新存取金鑰](id-credentials-access-keys-update.md)
+ [保護存取金鑰的安全](securing_access-keys.md)