使用 Amazon 安全凭证以编程方式进行访问
我们建议尽可能使用短期访问密钥来编程调用 Amazon 或使用 Amazon Command Line Interface 或 Amazon Tools for PowerShell。但是,您也可以将长期 Amazon 访问密钥用于这些目的。
创建长期访问密钥时,您将访问密钥 ID(例如 AKIAIOSFODNN7EXAMPLE
)和秘密访问密钥(例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
)创建为一组。秘密访问密钥仅在您创建它时可供下载。如果您没有下载秘密访问密钥或丢失了它,则必须创建新的秘密访问密钥。
在许多情况下,您并不需要永不过期的长期访问密钥(例如为 IAM 用户创建的访问密钥)。相反,您可以创建 IAM 角色并生成临时安全凭证。临时安全凭证包括访问密钥 ID 和秘密访问密钥,以及一个指示凭证何时到期的安全令牌。在过期后,这些凭证将不再有效。有关更多信息,请参阅 长期访问密钥的替代方案
以 AKIA
开头的访问密钥 ID 是 IAM 用户或 Amazon Web Services 账户 根用户的长期访问密钥。以 ASIA
开头的访问密钥 ID 是使用 Amazon STS 操作创建的临时凭证访问密钥。
如果用户需要在 Amazon Web Services Management Console 之外与 Amazon 交互,则需要编程式访问权限。Amazon API 和 Amazon Command Line Interface 需要访问密钥。可能的话,创建临时凭证,该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。
要向用户授予编程式访问权限,请选择以下选项之一。
哪个用户需要编程式访问权限? | 目的 | 方式 |
---|---|---|
IAM | 使用短期凭证签署对 Amazon CLI 或 Amazon API 的编程式请求(直接或使用 Amazon SDK)。 | 按照《IAM 用户指南》中将临时凭证用于 Amazon 资源中的说明进行操作。 |
IAM | (不推荐使用) 使用长期凭证签署对 Amazon CLI 或 Amazon API 的编程式请求(直接或使用 Amazon SDK)。 |
按照《IAM 用户指南》中管理 IAM 用户的访问密钥中的说明进行操作。 |
长期访问密钥的替代方案
对于许多常见使用案例,应有长期访问密钥的替代方法。为了提高您的账户安全性,请考虑以下几点。
-
不要在应用程序代码或代码存储库中嵌入长期访问密钥和秘密访问密钥 –改用 Amazon Secrets Manager 或其他秘密管理解决方案,因此您不必以纯文本硬编码密钥。然后,应用程序或客户端可以在需要时检索秘密。有关更多信息,请参阅Amazon Secrets Manager《用户指南》中的什么是Amazon Secrets Manager?。
-
尽可能使用 IAM 角色来生成临时安全凭证 –尽可能使用机制颁发临时安全凭证,而不是使用长期访问密钥。临时安全凭证更加安全,因为它们不随用户一起存储,而是动态生成并在用户提出请求时提供给用户。临时安全凭证的生命周期较短,因此无需管理或更新。提供临时访问密钥的机制包括 IAM 角色或 IAM Identity Center 用户的身份验证。对于在 Amazon 外部运行的计算机,您可以使用 Amazon Identity and Access Management Roles Anywhere。
-
对 Amazon Command Line Interface(Amazon CLI) 或
aws-shell
使用长期访问密钥的替代方法 – 替代方法包括如下。-
Amazon CloudShell 是一个基于浏览器的预先验证 shell,您可以直接从 Amazon Web Services Management Console 中启动。您可以通过自己喜爱的 Shell(Bash、Powershell 或 Z shell)来对 Amazon Web Services 服务 运行 Amazon CLI 命令。在执行此操作时,您无需下载或安装命令行工具。有关更多信息,请参阅Amazon CloudShell《用户指南》中的什么是Amazon CloudShell?。
-
Amazon CLI 版本 2 与 Amazon IAM Identity Center (IAM Identity Center) 集成。您可以对用户进行身份验证并提供短期凭证以运行 Amazon CLI 命令。要了解更多信息,请参阅 Amazon IAM Identity Center 用户指南中的集成 Amazon CLI 与 IAM Identity Cenenter 和 Amazon Command Line Interface 用户指南中的配置 Amazon CLI 以使用 IAM Identy Center。
-
-
不要为需要访问应用程序或 Amazon Web Services 服务 的人类用户创建长期访问密钥 – IAM Identity Center 可以生成临时访问凭证,供您的外部 IdP 用户访问 Amazon Web Services 服务。这样就无需在 IAM 中创建和管理长期凭证。在 IAM Identity Center 中,创建一个 IAM Identity Center 权限集,该权限集向外部 IdP 用户授予访问权限。然后,将来自 IAM Identity Center 的组分配给选定 Amazon Web Services 账户 中的权限集。有关更多信息,请参阅什么是 Amazon IAM Identity Center、连接到外部身份提供者以及 Amazon IAM Identity Center 用户指南中的权限集。
-
不要 Amazon 计算服务中存储长期访问密钥 – 相反,应为计算资源分配 IAM 角色。这会自动提供临时凭证以授予访问权限。例如,在创建附加到 Amazon EC2 实例的实例配置文件,可以将 Amazon 角色分配给该实例并使其对该实例的所有应用程序可用。实例配置文件包含角色,并使 Amazon EC2 实例上运行的程序能够获得临时凭证。要了解更多信息,请参阅使用 IAM 角色为 Amazon EC2 实例上运行的应用程序授予权限。