本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM 使用者的服務特定憑證
<a name="id_credentials_service-specific-creds"></a>

服務特定的登入資料是專門為特定 AWS 服務設計的身分驗證機制。相較於標準登入資料，這些 AWS 登入資料提供簡化的身分驗證，並針對個別 AWS 服務的身分驗證需求量身打造。與可在多個 AWS 服務中使用的存取金鑰不同，服務特定的登入資料僅設計用於建立它們的服務。這種具有較強針對性的方法透過限制憑證的適用範圍來增強安全性。

服務特定憑證通常包含使用者名稱與密碼對，或根據特定服務的需求經格式化的專用 API 金鑰。在建立服務特定憑證時，它們預設為處於作用中狀態，並且可以立即使用。每個 IAM 使用者的每項受支援服務最多可以有兩組服務特定憑證。此限制可讓您在在需要時輪換至新集時維持一個作用中集。 AWS 目前支援下列服務的服務特定憑證：

## 何時使用服務特定的登入資料
<a name="id_credentials_service-specific-creds-usecase"></a>

服務特定的登入資料旨在與第三方程式庫、SDKs、工具或應用程式相容，這些應用程式本質上與 AWS 登入資料、 AWS 軟體SDKs或 AWS APIs 不相容。這類使用案例包括從自我託管的基礎設施或其他供應商託管 AWS 的服務遷移至 服務。

從頭開始，並盡可能使用 AWS 臨時登入資料，例如 IAM 角色提供的臨時登入資料，以使用支援 AWS 臨時登入資料的 AWS SDK 或程式庫來驗證 AWS 服務。

## 輪換服務特定憑證
<a name="id_credentials_service-specific-creds-rotation"></a>

作為安全性最佳實務，請定期輪換服務特定憑證。若要在不中斷應用程式的情況下輪換憑證，請執行下列動作：

1. 為相同服務和 IAM 使用者再建立一組服務特定憑證

1. 更新所有應用程式以使用新憑證，並確認它們可正常運作

1. 將原始憑證的狀態變更為「非作用中」

1. 確認所有應用程式仍在正常運作

1. 確定不再需要非作用中的服務特定憑證後，將其刪除

## 監控服務特定憑證
<a name="id_credentials_service-specific-creds-monitoring"></a>

您可以使用 AWS CloudTrail 來監控帳戶中 AWS 服務特定登入資料的使用情況。若要檢視與服務特定憑證使用情況相關的 CloudTrail 事件，請檢閱 CloudTrail 日誌以取得使用憑證之服務的事件。如需詳細資訊，請參閱[使用 記錄 IAM 和 AWS STS API 呼叫 AWS CloudTrail](cloudtrail-integration.md)。

為提高安全性，請考慮設定 CloudWatch 警示，以便通知您特定的憑證使用模式，這些使用模式可能指示存在未經授權的存取或其他安全問題。如需詳細資訊，請參閱 *AWS CloudTrail User Guide* 中的 [Monitoring CloudTrail Log Files with Amazon CloudWatch Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html)。

下列主題提供有關服務特定憑證的資訊。

**Topics**
+ [何時使用服務特定的登入資料](#id_credentials_service-specific-creds-usecase)
+ [輪換服務特定憑證](#id_credentials_service-specific-creds-rotation)
+ [監控服務特定憑證](#id_credentials_service-specific-creds-monitoring)
+ [AWS 服務的 API 金鑰](id_credentials_api_keys_for_aws_services.md)
+ [將 IAM 與 Amazon Keyspaces (適用於 Apache Cassandra) 搭配使用](id_credentials_keyspaces.md)