AWS 安全登入資料

帳戶擁有者 (根使用者)：建立 AWS 帳戶並擁有完整存取權的使用者。

AWS IAM Identity Center 使用者：在 AWS IAM Identity Center 中管理的使用者。

聯合身分使用者：來自外部身分提供者的使用者，他們透過聯合獲得 AWS 的臨時存取權。如需聯合身分的詳細資訊，請參閱 身分提供者與聯合。

IAM 使用者：在 AWS Identity and Access Management (IAM) 服務中建立的個別使用者。

暫時安全憑證是「短期」的，如其名稱所暗示。其可設定為在任何地方持續幾分鐘到幾小時不等。在憑證到期後，AWS 不再辨識它們，或允許從 API 請求對其進行的任何類型的存取。

暫時性安全憑證不會與使用者一起儲存，但會動態產生並在請求時提供給使用者。當暫時性安全憑證到期時 (或者即使在此之前)，使用者可以請求新的憑證，只要使用者的請求仍具有可這麼做的許可。

您不必隨應用程式散發或內嵌長期 AWS 安全憑證。

您可以提供 AWS 資源存取給使用者，而不必為其定義 AWS 身分。暫時憑證是角色和聯合身分的基礎。

臨時安全憑證的存留期有限，因此當不再需要時，您不需要更新它們或明確予以撤銷。暫時性安全憑證到期之後，就無法重複使用。您可以指定憑證的有效期，達到最長限制。

當您建立 AWS 帳戶 時，我們會建立帳戶根使用者。根使用者 (帳戶擁有者) 的憑證可以完整存取帳戶中的所有資源。您對根使用者執行的第一項任務是為 AWS 帳戶 授予其他使用者管理許可，以便將根使用者的使用量降到最低。

多重要素驗證 (MFA) 為可以存取 AWS 帳戶 的使用者提供多一層級的安全防護。若要提升安全性，我們建議您要求對 AWS 帳戶根使用者 憑證和所有 IAM 使用者進行 MFA。如需詳細資訊，請參閱AWS IAM 中的多重要素驗證。

AWS 需要不同類型的安全憑證，具體取決於您存取 AWS 的方式以及您是哪種 AWS 使用者類型。例如，在使用存取金鑰對 AWS 進行程式設計呼叫時，使用 AWS Management Console 的登入憑證。如需有關判斷使用者類型和登入頁面的說明，請參閱 AWS 登入 User Guide 中的 What is AWS Sign-In。

您無法使用 IAM 政策來明確拒絕根使用者存取權。您只能使用 AWS Organizations 服務控制政策 (SCP) 來限制根使用者的許可。

如果您忘記或遺失根使用者密碼，則必須擁有與您帳戶相關聯之電子郵件地址的存取權，才能重設密碼。

如果遺失根使用者存取金鑰，則您必須能夠以根使用者身分登入您的帳戶，才能建立新的金鑰。

請勿將您的根使用者用於日常任務。請將其用來執行只能由根使用者執行的任務。如需檢視需要您以根使用者身分登入的任務完整清單，請參閱 需要根使用者憑證的任務。

安全登入資料是帳戶專屬的資料。如果您可以存取多個 AWS 帳戶，則每個帳戶都有單獨憑證。

政策會決定使用者、角色或使用者群組成員可以對哪些 AWS 資源執行什麼動作，以及在哪些情況下執行。使用政策可安全地控制對 AWS 帳戶 中 AWS 服務 與資源的存取權限。如果您必須修改或撤銷許可以回應安全性事件，則您可以刪除或修改政策，而不是直接變更身分。

請務必將緊急存取 IAM 使用者的登入憑證，以及為程式設計存取而建立的任何存取金鑰儲存在安全的位置。如果您遺失存取金鑰，則必須登入帳戶建立新金鑰。

強烈建議您使用 IAM 角色和聯合身分使用者提供的暫時憑證，而不要使用 IAM 使用者和存取金鑰提供的長期憑證。