本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 安全登入資料
當您與 互動時 AWS,您可以指定 AWS *安全登入*資料來驗證您的身分,以及您是否有權存取您請求的資源。 AWS 會使用安全登入資料來驗證和授權您的請求。
例如,如果要從 Amazon Simple Storage Service (Amazon S3) 儲存貯體下載受保護的檔案,您的憑證必須允許此存取動作。如果您的登入資料未顯示您獲得下載檔案的授權, 會 AWS 拒絕您的請求。不過,您不需要 AWS 安全登入資料,即可在公開共用的 Amazon S3 儲存貯體中下載檔案。
中有不同類型的使用者 AWS,每個使用者都有自己的安全登入資料:
+ **帳戶擁有者 (根使用者)** — 建立 AWS 帳戶 且具有完整存取權的使用者。
+ **AWS IAM Identity Center 使用者** — 在 中管理的使用者 AWS IAM Identity Center。
+ **聯合主體** — 來自外部身分提供者的使用者,他們 AWS 透過聯合獲得對 的臨時存取權。如需聯合身分的詳細資訊,請參閱 [身分提供者和聯合身分 AWS](id_roles_providers.md)。
+ **IAM 使用者** — 在 AWS Identity and Access Management (IAM) 服務中建立的個別使用者。
使用者擁有長期或暫時安全憑證。根使用者、IAM 使用者和存取金鑰具有不會過期的長期安全憑證。若要保護長期憑證,您應有現成的程序以[管理存取金鑰](id_credentials_access-keys.md)、[變更密碼](id_credentials_passwords.md)和[啟用 MFA](id_credentials_mfa.md)。
若要簡化 中跨成員帳戶的根使用者憑證管理 AWS Organizations,您可以使用 集中保護 AWS 帳戶 受管 的根使用者憑證 AWS Organizations。 [集中管理成員帳戶的根存取權](id_root-user.md#id_root-user-access-management)可讓您集中移除和防止長期根使用者憑證復原,防止大規模的意外根存取。
IAM AWS STS 角色 AWS IAM Identity Center 的使用者和聯合身分使用者主體具有臨時安全登入資料。暫時安全憑證會在定義的一段時間或使用者結束工作階段後過期。暫時憑證的作用幾乎與長期憑證完全相同,而其差異如下:
+ 暫時安全憑證是「短期」**的,如其名稱所暗示。其可設定為在任何地方持續幾分鐘到幾小時不等。登入資料過期後, AWS 就無法再辨識這些登入資料,也無法允許從使用它們提出的 API 請求進行任何類型的存取。
+ 暫時性安全憑證不會與使用者一起儲存,但會動態產生並在請求時提供給使用者。當暫時性安全憑證到期時 (或者即使在此之前),使用者可以請求新的憑證,只要使用者的請求仍具有可這麼做的許可。
因此,相較於長期憑證,暫時性憑證具有下列優點:
+ 您不需要向應用程式分發或嵌入長期 AWS 安全登入資料。
+ 您可以為使用者提供 AWS 資源的存取權,而不必為其定義 AWS 身分。暫時憑證是[角色和聯合身分](id_roles.md)的基礎。
+ 臨時安全憑證的存留期有限,因此當不再需要時,您不需要更新它們或明確予以撤銷。暫時性安全憑證到期之後,就無法重複使用。您可以指定憑證的有效期,達到最長限制。
## 安全考量
建議您在決定適用於 AWS 帳戶的安全規定時,考量下列資訊:
+ 當您建立 時 AWS 帳戶,我們會建立 帳戶根使用者。根使用者 (帳戶擁有者) 的憑證可以完整存取帳戶中的所有資源。您使用根使用者執行的第一個任務是將另一個使用者管理許可授予 , AWS 帳戶 以便將根使用者的用量降至最低。
+ 多重要素驗證 (MFA) 為可以存取 AWS 帳戶的使用者提供多一層級的安全防護。為了提高安全性,我們建議您對 AWS 帳戶根使用者 登入資料和所有 IAM 使用者要求 MFA。如需詳細資訊,請參閱[AWS IAM 中的多重要素驗證](id_credentials_mfa.md)。
+ AWS 需要不同類型的安全登入資料,取決於您的存取方式 AWS 和 AWS 使用者類型。例如,您在使用存取金鑰進行程式設計呼叫 AWS 管理主控台 時使用 的登入憑證 AWS。如需判斷使用者類型和登入頁面的說明,請參閱*AWS 登入 《 使用者指南*》中的[什麼是 AWS 登入](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html)。
+ 您無法使用 IAM 政策來明確拒絕根使用者存取權。您只能使用 AWS Organizations [服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) 來限制根使用者的許可。
+ 如果您忘記或遺失根使用者密碼,則必須擁有與您帳戶相關聯之電子郵件地址的存取權,才能重設密碼。
+ 如果遺失根使用者存取金鑰,則您必須能夠以根使用者身分登入您的帳戶,才能建立新的金鑰。
+ 請勿將您的根使用者用於日常任務。請將其用來執行只能由根使用者執行的任務。如需檢視需要您以根使用者身分登入的任務完整清單,請參閱 [需要根使用者憑證的任務](id_root-user.md#root-user-tasks)。
+ 安全登入資料是帳戶專屬的資料。如果您可以存取多個 AWS 帳戶,則每個帳戶都有單獨憑證。
+ [政策](access_policies.md)會決定使用者、角色或使用者群組成員可以對哪些 AWS 資源執行的動作,以及在哪些條件下執行的動作。使用 政策,您可以安全地控制對 中 AWS 服務 和資源的存取 AWS 帳戶。如果您必須修改或撤銷許可以回應安全性事件,則您可以刪除或修改政策,而不是直接變更身分。
+ 請務必將*緊急存取* IAM 使用者的登入憑證,以及為程式設計存取而建立的任何存取金鑰儲存在安全的位置。如果您遺失存取金鑰,則必須登入帳戶建立新金鑰。
+ 強烈建議您使用 IAM 角色和聯合身分主體提供的臨時憑證,而不要使用 IAM 使用者和存取金鑰提供的長期憑證。