使用长期凭证进行身份验证 - AWS SDKs 和工具

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用长期凭证进行身份验证

警告

为避免安全风险,在开发专用软件或处理真实数据时,请勿使用IAM用户进行身份验证。而是使用与身份提供者的联合身份验证,例如 AWS IAM Identity Center

如果您使用IAM用户来运行代码,则开发环境中的SDK或工具将使用共享 AWS credentials文件中的长期IAM用户凭据进行身份验证。查看IAM主题中的安全最佳实践,并尽快过渡到 IAM Identity Center 或其他临时证书。

有关凭证的重要警告和指南

有关凭证的警告
  • 请NOT务必使用您账户的根证书来访问 AWS 资源。这些凭证可提供不受限的账户访问且难以撤销。

  • 务必在应用程序文件中NOT输入字面访问密钥或凭据信息。如果您这样做,则在将项目上传到公共存储库或在其他情况下,会有意外暴露凭证的风险。

  • 请NOT务必在项目区域中包含包含凭据的文件。

  • 请注意,存储在共享 AWS credentials文件中的所有凭据都以纯文本形式存储。

有关安全管理凭证的更多指南

有关如何安全管理 AWS 证书的一般性讨论,请参阅中的管理 AWS 访问密钥的最佳实践AWS 一般参考。除了上述讨论内容外,请考虑以下事项:

先决条件:创建 AWS 账户

要使用IAM用户访问 AWS 服务,你需要一个 AWS 账户和 AWS 证书。

  1. 创建账户。

    要创建 AWS 账户,请参阅入门:你是首次 AWS 使用吗? 在《AWS Account Management 参考指南》中。

  2. 创建管理用户。

    请勿使用 root 用户账户(您创建的初始账户)访问管理控制台和服务。相反,请按照《用户指南》中的创建管理用户中所述创建管理用户帐户来创建管理IAM用户帐户。

    创建管理用户账户并记录登录详细信息后,务必注销根用户账户并使用管理账户重新登录。

这两个帐户都不适合在上面进行开发 AWS 或在上运行应用程序 AWS。作为最佳实践,您需要创建适合这些任务的用户、权限集或服务角色。有关更多信息,请参阅《IAM 用户指南》中的应用最低权限许可

第 1 步:创建您的IAM用户

  • 按照IAM用户指南中的创建IAM用户(控制台)过程创建IAM用户。创建IAM用户时:

    • 我们建议您选择 “向用户提供访问权限” AWS Management Console。这使您可以查看 AWS 服务 与您在可视环境中运行的代码相关的内容,例如检查 AWS CloudTrail 诊断日志或将文件上传到 Amazon Simple Storage Service,这在调试代码时很有用。

    • 在 “设置权限-权限选项” 中,选择 “直接附加策略”,以了解如何向该用户分配权限。

      • 大多数 “入门” SDK 教程都以 Amazon S3 服务为例。要向应用程序提供对 Amazon S3 的完全访问权限,请选择要附加到此用户的 AmazonS3FullAccess 策略。

    • 您可以忽略该过程中有关设置权限界限或标签的可选步骤。

步骤 2:获取您的访问密钥

  1. 在IAM控制台的导航窗格中,选择用户,然后选择您之前创建User name的用户。

  2. 在用户的页面上,选择安全凭证页面。然后,在访问密钥下,选择创建访问密钥

  3. 创建访问密钥步骤 1 中,选择命令行界面 (CLI)本地代码。这两个选项生成的密钥类型相同,可与 AWS CLI 和一起使用SDKs。

  4. 对于创建访问密钥步骤 2,输入可选标记并选择下一步

  5. 创建访问密钥步骤 3 中,选择下载.csv 文件以保存包含IAM用户访问密钥和私有访问密钥的.csv文件。稍后您将需要此信息。

    警告

    使用适当的安全措施来确保这些凭证的安全。

  6. 选择 Done (完成)

步骤 3:更新共享 credentials 文件

  1. 创建或打开共享 AWS credentials 文件。此文件在 Linux 和 macOS 系统上为 ~/.aws/credentials,在 Windows 上为 %USERPROFILE%\.aws\credentials。有关更多信息,请参阅 凭证文件位置

  2. 将以下文本添加到共享 credentials 文件中。将示例 ID 值和示例密钥值替换为先前下载的 .csv 文件中的值。

    [default] aws_access_key_id = AKIAIOSFODNN7EXAMPLE aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  3. 保存该文件。

共享 credentials 文件是存储凭证的最常见方式。它们也可以设置为环境变量,有关环境变量的名称,请参阅 AWS 访问密钥。这是一种入门方法,但我们建议您尽快过渡到 Ident IAM ity Center 或其他临时证书。停止使用长期凭证后,请记得从共享 credentials 文件中删除这些凭证。