本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM 使用者的服務特定憑證
服務特定的登入資料是專門為特定 AWS 服務設計的身分驗證機制。相較於標準登入資料,這些 AWS 登入資料提供簡化的身分驗證,並針對個別 AWS 服務的身分驗證需求量身打造。與可在多個 AWS 服務中使用的存取金鑰不同,服務特定的登入資料僅設計用於建立它們的服務。這種具有較強針對性的方法透過限制憑證的適用範圍來增強安全性。
服務特定憑證通常包含使用者名稱與密碼對,或根據特定服務的需求經格式化的專用 API 金鑰。在建立服務特定憑證時,它們預設為處於作用中狀態,並且可以立即使用。每個 IAM 使用者的每項受支援服務最多可以有兩組服務特定憑證。此限制可讓您在在需要時輪換至新集時維持一個作用中集。 AWS 目前支援下列服務的服務特定憑證:
輪換服務特定憑證
作為安全性最佳實務,請定期輪換服務特定憑證。若要在不中斷應用程式的情況下輪換憑證,請執行下列動作:
-
為相同服務和 IAM 使用者再建立一組服務特定憑證
-
更新所有應用程式以使用新憑證,並確認它們可正常運作
-
將原始憑證的狀態變更為「非作用中」
-
確認所有應用程式仍在正常運作
-
確定不再需要非作用中的服務特定憑證後,將其刪除
監控服務特定憑證
您可以使用 AWS CloudTrail 來監控帳戶中 AWS 服務特定登入資料的使用情況。若要檢視與服務特定憑證使用情況相關的 CloudTrail 事件,請檢閱 CloudTrail 日誌以取得使用憑證之服務的事件。如需詳細資訊,請參閱使用 記錄 IAM 和 AWS STS API 呼叫 AWS CloudTrail。
為提高安全性,請考慮設定 CloudWatch 警示,以便通知您特定的憑證使用模式,這些使用模式可能指示存在未經授權的存取或其他安全問題。如需詳細資訊,請參閱 AWS CloudTrail User Guide 中的 Monitoring CloudTrail Log Files with Amazon CloudWatch Logs。
下列主題提供有關服務特定憑證的資訊。
主題
