本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS 访问密钥进行身份验证 AWS SDKs 和工具
使用 AWS SDKs 和工具时,可以选择使用 AWS 访问密钥进行身份验证。
使用短期凭证
我们建议将您的 SDK 或工具配置为使用 使用 IAM 身份中心对 AWS SDK 和工具进行身份验证 以使用延长的会话持续时间选项。
但是,要直接设置 SDK 或工具的临时凭证,请参阅 使用短期凭证进行身份验证 AWS SDKs 和工具。
使用长期凭证
警告
为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证,而是使用与身份提供者的联合身份验证,例如 AWS IAM Identity Center。
管理跨区域的访问权限 AWS 账户
作为安全最佳实践,我们建议 AWS Organizations 与 IAM Identity Center 配合使用来管理所有人的访问权限 AWS 账户。有关更多信息,请参阅《IAM 用户指南》中的 IAM 安全最佳实践。
你可以在 IAM Identity Center 中创建用户,使用 Microsoft Active Directory,使用 SAML 2.0 身份提供商 (IdP),或者将你的 IdP 单独联合到其中。 AWS 账户您可以使用其中一种方法,为用户提供单点登录体验。您还可以强制执行多重身份验证 (MFA) 并使用临时证书 AWS 账户 进行访问。这与 IAM 用户不同,后者是一种可以共享的长期凭证,并且可能会增加 AWS 资源的安全风险。
仅为沙盒环境创建 IAM 用户
如果您不熟悉 AWS,可以创建一个测试 IAM 用户,然后使用它来运行教程并探索 AWS 所提供的内容。在学习时可以使用此类凭证,但我们建议您避免在沙盒环境之外使用。
对于以下用例,开始使用 IAM 用户可能是有意义的 AWS:
-
开始使用您的 AWS SDK 或工具,并在沙盒环境 AWS 服务 中进行探索。
-
在学习过程中,运行不支持人工参与登录流程的计划脚本、作业和其他自动化流程。
如果您在这些用例之外使用 IAM 用户,请尽快过渡到 IAM Identity Center 或将您的身份提供商联合到该 AWS 账户 中心。有关更多信息,请参阅 AWS中的身份联合验证
确保 IAM 用户访问密钥安全
您应该定期轮换 IAM 用户访问密钥。参阅《IAM 用户指南》,按照轮换访问密钥中的指导进行操作。如果您认为自己不小心共享了您的 IAM 用户访问密钥,请轮换您的访问密钥。
IAM 用户访问密钥应存储在本地计算机上的共享 AWS credentials文件中。请勿将 IAM 用户访问密钥存储在您的代码中。请勿将包含 IAM 用户访问密钥的配置文件存储到任何源代码管理软件中。开源项目 git-secrets
要设置 IAM 用户以开始使用,请参阅 使用长期凭证进行身份验证 AWS SDKs 和工具。
