# 查找未使用的 AWS 凭证
为提高您的 AWS 账户 的安全性,请删除不需要的 IAM 用户凭证(即密码和访问密钥)。例如,当用户离开您的组织或不再需要访问 AWS 时,请找到用户所使用的凭证并确保这些凭证不再有效。理想情况下,如果不再需要凭证,可将其删除。您始终可在将来需要这些凭证时创建它们。您至少应该更改密码或停用访问密钥,使以前的用户不再具有访问权限。
当然,*未使用* 这个词可以有多种理解,但通常指在指定时段内没用过的凭证。
## 查找未使用的密码
您可以使用 AWS 管理控制台查看用户的密码使用信息。如果您有大量的用户,则您可以使用控制台下载包含有关每个用户上次使用其控制台密码的时间信息的凭证报告。您还可以从 AWS CLI 或 IAM API 访问信息。
**查找未使用的密码 (控制台)**
1. 登录 AWS 管理控制台,单击 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择**用户**。
1. 如有必要,请将 **Console last sign-in** 列添加到用户表中:
1. 在最右侧的表上方,选择设置图标 (![\[Settings icon\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/console-settings-icon.console.png))。
1. 在**选择可见列**中,选择**控制台上次登录**。
1. 选择**确认**,返回到用户列表。
1. **Console last sign-in**(控制台上次登录时间)列显示用户上次通过控制台登录 AWS 的日期。您可以利用该信息查找超过指定时间段未使用密码登录的用户。对于从未使用密码登录的用户,该列显示 **Never**。**None** 表示没有密码的用户。最近未使用的密码可能适合做删除处理。
**重要**
由于服务问题,上次使用密码的数据不包括从 2018 年 5 月 3 日 22:50(太平洋时间)到 2018 年 5 月 23 日 14:08(太平洋时间)之间的密码使用。这会影响 IAM 控制台中显示的[上次登录](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)日期和 [IAM 凭证报告](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html)中以及 [GetUser API 操作](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)返回的上次使用密码的日期。如果用户在受影响的时间内登录,则返回的上次使用密码的日期是用户在 2018 年 5 月 3 日之前最后一次登录的日期。对于在 2018 年 5 月 23 日 14:08(太平洋时间)之后登录的用户,所返回的上次使用密码的日期准确无误。
如果您使用上次使用密码的信息来识别未使用的凭证以将其删除(如删除在过去 90 天内未登录过 AWS 的用户),建议您调整评估时段以纳入 2018 年 5 月 23 日之后的日期。或者,如果您的用户使用访问密钥以编程方式访问 AWS,则您可以参阅上次使用访问密钥的信息,因为其中的所有日期都准确无误。
**通过下载凭证报告查找未使用的密码 (控制台)**
1. 登录 AWS 管理控制台,然后通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**凭证报告**。
1. 选择 **Download Report** 以下载名为 `status_reports_T