IAM 使用者的服務特定憑證
服務特定憑證是專門為特定 AWS 服務而設計的專用身分驗證機制。相較於標準 AWS 憑證,這些憑證可簡化身分驗證,是針對個別 AWS 服務的身分驗證需求量身打造。與可在多項 AWS 服務中使用的存取金鑰不同,服務特定憑證設計為僅用於建立它們時所對應的服務。這種具有較強針對性的方法透過限制憑證的適用範圍來增強安全性。
服務特定憑證通常包含使用者名稱與密碼對,或根據特定服務的需求經格式化的專用 API 金鑰。在建立服務特定憑證時,它們預設為處於作用中狀態,並且可以立即使用。每個 IAM 使用者的每項受支援服務最多可以有兩組服務特定憑證。此限制可讓您保持一組憑證處於作用中,同時在需要時能夠輪換新一組憑證。AWS 目前支援下列服務的服務特定憑證:
輪換服務特定憑證
作為安全性最佳實務,請定期輪換服務特定憑證。若要在不中斷應用程式的情況下輪換憑證,請執行下列動作:
-
為相同服務和 IAM 使用者再建立一組服務特定憑證
-
更新所有應用程式以使用新憑證,並確認它們可正常運作
-
將原始憑證的狀態變更為「非作用中」
-
確認所有應用程式仍在正常運作
-
確定不再需要非作用中的服務特定憑證後,將其刪除
監控服務特定憑證
您可以使用 AWS CloudTrail 來監控 AWS 帳戶中服務特定憑證的使用情況。若要檢視與服務特定憑證使用情況相關的 CloudTrail 事件,請檢閱 CloudTrail 日誌以取得使用憑證之服務的事件。如需更多詳細資訊,請參閱 使用 AWS CloudTrail 記錄 IAM 和 AWS STS API 呼叫。
為提高安全性,請考慮設定 CloudWatch 警示,以便通知您特定的憑證使用模式,這些使用模式可能指示存在未經授權的存取或其他安全問題。如需詳細資訊,請參閱 AWS CloudTrail User Guide 中的 Monitoring CloudTrail Log Files with Amazon CloudWatch Logs。
下列主題提供有關服務特定憑證的資訊。
