使用长期凭证进行身份验证 - AWS SDKs和工具
有关凭证的重要警告和指南先决条件:创建 AWS account步骤 1:创建您的IAM用户步骤 2:获取您的访问密钥步骤 3:更新共享 credentials 文件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用长期凭证进行身份验证

警告

为避免安全风险,在开发专用软件或处理真实数据时,请勿使用IAM用户进行身份验证。相反,请使用与身份提供商的联合,例如 AWS IAM Identity Center.

如果您使用IAM用户来运行代码,则开发环境中的SDK或工具将通过在共享环境中使用长期IAM用户证书进行身份验证 AWS credentials文件。查看IAM主题中的安全最佳实践,并尽快过渡到 IAM Identity Center 或其他临时证书。

有关凭证的重要警告和指南

有关凭证的警告

  • 请务必NOT使用您账户的根凭证进行访问 AWS 资源的费用。这些凭证可提供不受限的账户访问且难以撤销。

  • 务必在应用程序文件中NOT输入字面访问密钥或凭据信息。如果您这样做,则在将项目上传到公共存储库或在其他情况下,会有意外暴露凭证的风险。

  • 请NOT务必在项目区域中包含包含凭据的文件。

  • 请注意,存储在共享中的所有凭据 AWS credentials文件以纯文本形式存储。

有关安全管理凭证的更多指南

有关如何安全管理的一般性讨论 AWS 凭证,请参阅管理的最佳实践 AWS中的访问密钥 AWS 一般参考。 除了讨论之外,还要考虑以下几点:

先决条件:创建 AWS account

使用IAM用户进行访问 AWS 服务,你需要一个 AWS 账户和 AWS 证书。

  1. 创建账户。

    要创建 AWS 账户,参见入门:你是第一次吗 AWS 用户? AWS Account Management 参考指南

  2. 创建管理用户。

    请勿使用 root 用户账户(您创建的初始账户)访问管理控制台和服务。相反,请按照《用户指南》中的创建管理用户中所述创建一个管理IAM用户帐户。

    创建管理用户账户并记录登录详细信息后,务必注销根用户账户并使用管理账户重新登录。

这两个账户都不适合在上面进行开发 AWS 或者用于在上运行应用程序 AWS。 作为最佳实践,您需要创建适合这些任务的用户、权限集或服务角色。有关更多信息,请参阅《IAM用户指南》中的应用最低权限权限

步骤 1:创建您的IAM用户

  • 按照IAM用户指南中的创建IAM用户(控制台)过程创建IAM用户。创建IAM用户时:

    • 我们建议您选择 “向用户提供访问权限” AWS Management Console。 这允许您查看 AWS 服务 与你在可视环境中运行的代码有关,例如检查 AWS CloudTrail 诊断日志或将文件上传到 Amazon 简单存储服务,这在调试代码时很有用。

    • 在 “设置权限-权限选项” 中,选择 “直接附加策略”,以了解如何向该用户分配权限。

      • 大多数 “入门” SDK 教程都以 Amazon S3 服务为例。要向应用程序提供对 Amazon S3 的完全访问权限,请选择要附加到此用户的 AmazonS3FullAccess 策略。

    • 您可以忽略该过程中有关设置权限界限或标签的可选步骤。

步骤 2:获取您的访问密钥

  1. 在IAM控制台的导航窗格中,选择用户,然后选择您之前创建User name的用户。

  2. 在用户的页面上,选择安全凭证页面。然后,在访问密钥下,选择创建访问密钥

  3. 创建访问密钥步骤 1 中,选择命令行界面 (CLI)本地代码。这两个选项生成的密钥类型相同,可与两个选项一起使用 AWS CLI 还有SDKs。

  4. 对于创建访问密钥步骤 2,输入可选标记并选择下一步

  5. 创建访问密钥步骤 3 中,选择下载.csv 文件以保存包含IAM用户访问密钥和私有访问密钥的.csv文件。稍后您将需要此信息。

    警告

    使用适当的安全措施来确保这些凭证的安全。

  6. 选择 Done (完成)

步骤 3:更新共享 credentials 文件

  1. 创建或打开共享 AWS credentials文件。此文件在 Linux 和 macOS 系统上为 ~/.aws/credentials,在 Windows 上为 %USERPROFILE%\.aws\credentials。有关更多信息,请参阅 凭证文件位置

  2. 将以下文本添加到共享 credentials 文件中。将示例 ID 值和示例密钥值替换为先前下载的 .csv 文件中的值。

    [default]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  3. 保存该文件。

共享 credentials 文件是存储凭证的最常见方式。它们也可以设置为环境变量,有关环境变量的名称,请参阅 AWS 访问密钥。这是一种入门方法,但我们建议您尽快过渡到 Ident IAM ity Center 或其他临时证书。停止使用长期凭证后,请记得从共享 credentials 文件中删除这些凭证。