本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
重要
最佳實務的作法是使用臨時性安全憑證 (如 IAM 角色),而不是建立長期憑證 (如存取金鑰)。在建立存取金鑰前,請檢閱長期存取金鑰的替代方案。
存取金鑰是 IAM 使用者或 AWS 帳戶根使用者的長期憑證。您可以使用存取金鑰簽署對 AWS CLI 或 AWS API 的程式設計請求 (直接使用 AWS SDK)。如需詳細資訊,請參閱使用 AWS 安全登入資料進行程式設計存取。
存取金鑰包含兩個部分:存取金鑰 ID (例如 AKIAIOSFODNN7EXAMPLE) 和私密存取金鑰 (例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。您必須一起使用存取金鑰 ID 和私密存取金鑰來驗證您的請求。
建立存取金鑰對時,將存取金鑰 ID 和私密存取金鑰儲存在安全位置。私密存取金鑰只能在您建立時擷取。如果您遺失了私密存取金鑰,則必須刪除該存取金鑰並新建一個。如需更多說明,請參閱 更新存取金鑰。
每位使用者最多可以擁有兩個存取金鑰。
重要
具有存取金鑰的 IAM 使用者具有帳戶安全風險。安全地管理存取金鑰。請勿將您的存取金鑰提供給未經授權的當事方,即便是協助尋找您的帳戶識別符也不妥。執行此作業,可能會讓他人能夠永久存取您的帳戶。
使用存取金鑰時,請注意下列事項:
-
請勿使用您帳戶的根登入資料來建立存取金鑰。
-
請勿將存取金鑰或登入資料資訊放入您的應用程式檔案中。
-
請勿在專案區域中包含存取金鑰或登入資料資訊的檔案。
-
存放在共用登入資料檔案中的存取金鑰或 AWS 登入資料資訊會以純文字儲存。
監控建議
建立存取金鑰之後:
-
使用 AWS CloudTrail 監控存取金鑰用量,並偵測任何未經授權的存取嘗試。如需詳細資訊,請參閱使用 記錄 IAM 和 AWS STS API 呼叫 AWS CloudTrail。
-
設定 CloudWatch 警示以通知管理員拒絕存取嘗試,以協助偵測惡意活動。如需更多資訊,請參閱 Amazon CloudWatch 使用者指南。
-
視需要定期檢閱、更新和刪除存取金鑰。
下列主題將詳細說明與存取金鑰相關的管理任務。
主題
