本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 更新存取金鑰
作為安全[最佳實務](best-practices.md#update-access-keys),我們建議在需要時更新 IAM 使用者存取金鑰,如當員工離職時。如果 IAM 使用者已獲得所需許可,他們可以更新自己的存取金鑰。
如需有關授予 IAM 使用者許可,讓他們可更新自己的存取金鑰的詳細資訊,請參閱 [AWS:允許 IAM 使用者在「安全憑證」頁面中管理其密碼、存取金鑰和 SSH 公有金鑰](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md)。您還可以套用密碼政策到您的帳戶,以要求所有 IAM 使用者定期更新其密碼並規定必須多久更新一次。如需詳細資訊,請參閱[設定 IAM 使用者的帳戶密碼政策](id_credentials_passwords_account-policy.md)。
**注意**
如果您遺失了私密存取金鑰,則必須刪除該存取金鑰並新建一個。私密存取金鑰只能在您建立時擷取。使用此步驟進行停用,然後使用新的憑證取代任何遺失的存取金鑰。
**Topics**
+ [更新 IAM 使用者存取金鑰 (主控台)](#rotating_access_keys_console)
+ [更新存取金鑰 (AWS CLI)](#rotating_access_keys_cli)
+ [更新存取金鑰 (AWS API)](#rotating_access_keys_api)
## 更新 IAM 使用者存取金鑰 (主控台)
您可以從 AWS 管理主控台中更新存取金鑰。
**在不會中斷您的應用程式下更新 IAM 使用者的存取金鑰 (主控台)**
1. 當第一個存取金鑰仍然有效時,建立第二個存取金鑰。
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Users** (使用者)。
1. 選擇目標使用者的名稱,然後選擇 **Security credentials (安全憑證)** 索引標籤。
1. 在**存取金鑰**區段中,選擇**建立存取金鑰**。在 **Access key best practices & alternatives** (存取金鑰最佳實務與替代方案) 頁面上,選取 **Other** (其他),然後再選擇 **Next** (下一步)。
1. (選用) 為存取金鑰設定描述標籤值,以新增標籤鍵值對到此 IAM 使用者。這可協助您在未來辨別與更新存取金鑰。標籤索引鍵被設定為存取金鑰 id。標籤值被設定為您指定的存取金鑰描述。完成時,選擇 **Create access key** (建立存取金鑰)。
1. 在 **Retrieve access keys** (擷取存取金鑰) 頁面上,選擇 **Show** (顯示) 以顯示您的使用者的私密存取金鑰的值,或選擇 **Download .csv file** (下載 .csv 檔案)。這是您儲存您的私密存取金鑰的唯一機會。在將您的私密存取金鑰儲存到安全位置以後,選取 **Done** (完成)。
當您為您的使用者建立存取金鑰時,在預設情況下,該金鑰對是作用中的,且您的使用者可以立即使用該金鑰對。此時,使用者有兩個作用中的存取金鑰。
1. 更新所有應用程式和工具以使用新的存取金鑰。
1. 透過查看 **Last used** (上次使用) 資訊中最舊的存取金鑰,判斷第一個存取金鑰是否仍在使用中。其中一個方法是等待幾天,然後在繼續之前檢查舊的存取金鑰以供使用。
1. 即使 **Last used** (上次使用) 資訊指示從未使用舊金鑰,我們建議您不要立即刪除第一個存取金鑰。反之,選擇 **Actions** (動作),然後選擇 **Deactivate** (停用) 來停用第一個存取金鑰。
1. 僅使用新的存取金鑰來確認您的應用程式正在工作。仍然使用原始存取金鑰的任何應用程式和工具此時都會停止運作,因為他們不再能夠存取 AWS 資源。如果您找到此類應用程式或工具,則可以重新啟用第一個存取金鑰。然後,返回 [Step 3](#id_credentials_access-keys-key-still-in-use) 並更新此應用程式以使用新的金鑰。
1. 等待一段時間後確保所有應用程式和工具都已更新,您可以刪除第一個存取金鑰:
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Users** (使用者)。
1. 選擇目標使用者的名稱,然後選擇 **Security credentials (安全憑證)** 索引標籤。
1. 在 **Access keys** (存取金鑰) 區段中,找到您想要刪除的存取金鑰,然後選取 **Actions** (動作),再選擇 **Delete** (刪除)。依照對話中的指示先 **Deactivate** (停用),然後再確認刪除。
**判斷需要更新或刪除哪些存取金鑰 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Users** (使用者)。
1. 如有必要,請透過完成以下步驟將 **Access key age** (存取金鑰使用期限) 欄新增到使用者表格:
1. 在最右側的表格上方,選擇設定圖示 (![\[Settings icon\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/console-settings-icon.console.png))。
1. 在 **Manage columns** (管理欄) 中,選取 **Access key age** (存取金鑰使用期限)。
1. 選擇 **Close (關閉)** 返回使用者清單。
1. **Access key age** (存取金鑰使用期限) 列顯示自建立最早的作用中存取金鑰以來的天數。您可以使用此資訊來尋找可能需要更新或刪除存取金鑰的使用者。對於沒有存取金鑰的使用者,該欄會顯示 **None** (無)。
## 更新存取金鑰 (AWS CLI)
您可以從 AWS Command Line Interface中更新存取金鑰。
**在不會中斷您的應用程式下更新存取金鑰 (AWS CLI)**
1. 當第一個存取金鑰仍然有效時,建立第二個存取金鑰,該索引鍵在預設情況下處於作用中。執行以下命令:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
此時,使用者有兩個作用中的存取金鑰。
1. 更新所有應用程式和工具以使用新的存取金鑰。
1. 使用此命令判斷第一個存取金鑰是否仍在使用中:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)
其中一個方法是等待幾天,然後在繼續之前檢查舊的存取金鑰以供使用。
1. 即使步驟 [Step 3](#step-determine-use) 表示不使用舊金鑰,我們也建議您不要立即刪除第一個存取金鑰。反之,使用此命令將第一個存取金鑰的狀態變更為 `Inactive`:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)
1. 僅使用新的存取金鑰來確認您的應用程式正在工作。仍然使用原始存取金鑰的任何應用程式和工具此時都會停止運作,因為他們不再能夠存取 AWS 資源。如果找到此類應用程式或工具,則可以將其狀態切換回 `Active` 以重新啟用第一個存取金鑰。然後,返回步驟 [Step 2](#step-update-apps) 並更新此應用程式以使用新的金鑰。
1. 等待一段時間後確保所有應用程式和工具都已更新,可以使用此命令刪除第一個存取金鑰:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)
## 更新存取金鑰 (AWS API)
您可以使用 AWS API 更新存取金鑰。
**在不中斷應用程式 (AWS API) 的情況下更新存取金鑰**
1. 當第一個存取金鑰仍然有效時,建立第二個存取金鑰,該索引鍵在預設情況下處於作用中。呼叫以下操作:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)
此時,使用者有兩個作用中的存取金鑰。
1. 更新所有應用程式和工具以使用新的存取金鑰。
1. 透過呼叫此操作判斷第一個存取金鑰是否仍在使用中:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
其中一個方法是等待幾天,然後在繼續之前檢查舊的存取金鑰以供使用。
1. 即使步驟 [Step 3](#step-determine-use-2) 表示不使用舊金鑰,我們也建議您不要立即刪除第一個存取金鑰。反之,呼叫此操作將第一個存取金鑰的狀態變更為 `Inactive`:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)
1. 僅使用新的存取金鑰來確認您的應用程式正在工作。仍然使用原始存取金鑰的任何應用程式和工具此時都會停止運作,因為他們不再能夠存取 AWS 資源。如果找到此類應用程式或工具,則可以將其狀態切換回 `Active` 以重新啟用第一個存取金鑰。然後,返回步驟 [Step 2](#step-update-apps-2) 並更新此應用程式以使用新的金鑰。
1. 等待一段時間後確保所有應用程式和工具都已更新,您可以刪除呼叫此操作的第一個存取金鑰:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)