本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM 使用者的服務特定登入資料
服務特定的登入資料是專門為特定 AWS 服務設計的身分驗證機制。相較於標準登入資料,這些 AWS 登入資料提供簡化的身分驗證,並針對個別 AWS 服務的身分驗證需求量身打造。與可在多個 AWS 服務中使用的存取金鑰不同,服務特定的登入資料僅設計用於建立它們的服務。此目標方法透過限制登入資料的範圍來增強安全性。
服務特定的登入資料通常包含使用者名稱和密碼對,或根據特定服務的需求格式化的特殊 API 金鑰。當您建立服務特定的登入資料時,預設會處於作用中狀態,並且可以立即使用。每個 IAM 使用者每個支援的服務最多可以有兩組服務特定的登入資料。此限制可讓您在在需要時輪換至新集時維持一個作用中集。 AWS 目前支援下列服務的服務特定憑證:
輪換服務特定的登入資料
作為安全最佳實務,定期輪換服務特定的登入資料。若要在不中斷應用程式的情況下輪換登入資料:
-
為相同的服務和 IAM 使用者建立第二組服務特定的登入資料
-
更新所有應用程式以使用新的登入資料,並確認它們正常運作
-
將原始登入資料的狀態變更為「非作用中」
-
確認所有應用程式仍然正常運作
-
當您確定不再需要非作用中的服務特定登入資料時,請將其刪除
監控服務特定的登入資料
您可以使用 AWS CloudTrail 來監控帳戶中 AWS 服務特定登入資料的使用情況。若要檢視與服務特定登入資料使用量相關的 CloudTrail 事件,請檢閱 CloudTrail 日誌以取得使用登入資料之服務的事件。如需詳細資訊,請參閱使用 記錄 IAM 和 AWS STS API 呼叫 AWS CloudTrail。
為了提高安全性,請考慮設定 CloudWatch 警示,以通知您可能表示未經授權的存取或其他安全問題的特定憑證使用模式。如需詳細資訊,請參閱AWS CloudTrail 《 使用者指南》中的使用 Amazon CloudWatch Logs 監控 CloudTrail 日誌檔案。
下列主題提供有關服務特定登入資料的資訊。
