本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 AWS 访问密钥进行身份验证 AWS SDKs 和工具
使用 AWS SDKs 和工具时,可以选择使用 AWS 访问密钥进行身份验证。
## 使用短期凭证
我们建议将您的 SDK 或工具配置为使用 [使用 IAM 身份中心对 AWS SDK 和工具进行身份验证](access-sso.md) 以使用延长的会话持续时间选项。
但是,要直接设置 SDK 或工具的临时凭证,请参阅 [使用短期凭证进行身份验证 AWS SDKs 和工具短期凭证](access-temp-idc.md)。
## 使用长期凭证
**警告**
为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证,而是使用与身份提供者的联合身份验证,例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### 管理跨区域的访问权限 AWS 账户
作为安全最佳实践,我们建议 AWS Organizations 与 IAM Identity Center 配合使用来管理所有人的访问权限 AWS 账户。有关更多信息,请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。
你可以在 IAM Identity Center 中创建用户,使用 Microsoft Active Directory,使用 SAML 2.0 身份提供商 (IdP),或者将你的 IdP 单独联合到其中。 AWS 账户您可以使用其中一种方法,为用户提供单点登录体验。您还可以强制执行多重身份验证 (MFA) 并使用临时证书 AWS 账户 进行访问。这与 IAM 用户不同,后者是一种可以共享的长期凭证,并且可能会增加 AWS 资源的安全风险。
### 仅为沙盒环境创建 IAM 用户
如果您不熟悉 AWS,可以创建一个测试 IAM 用户,然后使用它来运行教程并探索 AWS 所提供的内容。在学习时可以使用此类凭证,但我们建议您避免在沙盒环境之外使用。
对于以下用例,开始使用 IAM 用户可能是有意义的 AWS:
+ 开始使用您的 AWS SDK 或工具,并在沙盒环境 AWS 服务 中进行探索。
+ 在学习过程中,运行不支持人工参与登录流程的计划脚本、作业和其他自动化流程。
如果您在这些用例之外使用 IAM 用户,请尽快过渡到 IAM Identity Center 或将您的身份提供商联合到该 AWS 账户 中心。有关更多信息,请参阅 [AWS中的身份联合验证](https://aws.amazon.com/identity/federation/)。
### 确保 IAM 用户访问密钥安全
您应该定期轮换 IAM 用户访问密钥。参阅**《IAM 用户指南》,按照[轮换访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)中的指导进行操作。如果您认为自己不小心共享了您的 IAM 用户访问密钥,请轮换您的访问密钥。
IAM 用户访问密钥应存储在本地计算机上的共享 AWS `credentials`文件中。请勿将 IAM 用户访问密钥存储在您的代码中。请勿将包含 IAM 用户访问密钥的配置文件存储到任何源代码管理软件中。开源项目 [git-secrets](https://github.com/awslabs/git-secrets) 等外部工具可以帮助您避免无意中将敏感信息提交到 Git 存储库。有关更多信息,请参阅 *IAM 用户指南* 中的 [IAM 身份(用户、用户组和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
要设置 IAM 用户以开始使用,请参阅 [使用长期凭证进行身份验证 AWS SDKs 和工具](access-iam-users.md)。