AWS 安全憑證

帳戶擁有者 （根使用者） — 建立 AWS 帳戶 和 具有完整存取權的使用者。

AWS IAM Identity Center 使用者 — 在 中管理的使用者 AWS IAM Identity Center。

聯合使用者 — 來自外部身分提供者的使用者，他們 AWS 透過聯合獲得暫時存取 的權限。如需聯合身分的詳細資訊，請參閱 身分提供者與聯合。

IAM 使用者 — 在 AWS Identity and Access Management （IAM） 服務內建立的個別使用者。

暫時安全憑證是「短期」的，如其名稱所暗示。其可設定為在任何地方持續幾分鐘到幾小時不等。憑證過期後， AWS 將不再識別這些憑證，也不再允許從使用它們提出的API請求進行任何類型的存取。

暫時性安全憑證不會與使用者一起儲存，但會動態產生並在請求時提供給使用者。當暫時性安全憑證到期時 (或者即使在此之前)，使用者可以請求新的憑證，只要使用者的請求仍具有可這麼做的許可。

您不需要將長期 AWS 安全憑證與應用程式分發或嵌入。

您可以向使用者提供 AWS 資源的存取權，而不必為其定義 AWS 身分。暫時憑證是角色和聯合身分的基礎。

臨時安全憑證的存留期有限，因此當不再需要時，您不需要更新它們或明確予以撤銷。暫時性安全憑證到期之後，就無法重複使用。您可以指定憑證的有效期，達到最長限制。

當您建立 時 AWS 帳戶，我們會建立帳戶根使用者。根使用者 (帳戶擁有者) 的憑證可以完整存取帳戶中的所有資源。您使用根使用者執行的第一個任務是將另一個使用者管理許可授予您的 ， AWS 帳戶 以便您將根使用者的用量降至最低。

多重要素驗證 （MFA） 為可存取您 的使用者提供額外的安全層級 AWS 帳戶。為了提高安全性，我們建議您在 AWS 帳戶根使用者 憑證和IAM所有使用者MFA上要求 。如需詳細資訊，請參閱AWS 多因素身份驗證 IAM。

AWS 需要不同類型的安全憑證，取決於您的存取方式 AWS 和 AWS 使用者類型。例如，您在使用存取金鑰向 進行程式設計呼叫 AWS Management Console 時，使用 的登入憑證 AWS。如需判斷使用者類型和登入頁面的協助，請參閱 AWS 登入 使用者指南 中的什麼是 AWS 登入。

您不能使用IAM政策來明確拒絕根使用者存取 資源。您只能使用 AWS Organizations 服務控制政策 （SCP） 來限制根使用者的許可。

如果您忘記或遺失根使用者密碼，則必須擁有與您帳戶相關聯之電子郵件地址的存取權，才能重設密碼。

如果遺失根使用者存取金鑰，則您必須能夠以根使用者身分登入您的帳戶，才能建立新的金鑰。

請勿將您的根使用者用於日常任務。請將其用來執行只能由根使用者執行的任務。如需檢視需要您以根使用者身分登入的任務完整清單，請參閱 需要根使用者憑證的任務。

安全登入資料是帳戶專屬的資料。如果您可以存取多個 AWS 帳戶，則每個帳戶都有單獨憑證。

政策會決定使用者、角色或使用者群組成員可以執行的動作、 AWS 資源以及條件。使用政策，您可以安全地控制對 中 AWS 服務 資源的存取 AWS 帳戶。如果您必須修改或撤銷許可以回應安全性事件，則您可以刪除或修改政策，而不是直接變更身分。

請務必將緊急存取IAM使用者的登入憑證，以及您為程式設計存取建立的任何存取金鑰儲存在安全位置。如果您遺失存取金鑰，則必須登入帳戶建立新金鑰。

我們強烈建議您使用IAM角色和聯合身分使用者提供的臨時憑證，而不是IAM使用者和存取金鑰提供的長期憑證。