Amazon Web Services
一般参考 (Version 1.0)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

了解并获取您的安全凭证

根据与 AWS 交互的方式使用不同类型的安全凭证。例如,您可以使用用户名和密码登录 AWS 管理控制台。您使用访问密钥来以编程方式调用 AWS API 操作。

如果您忘记或丢失了凭证,您无法恢复它们。出于安全考虑,AWS 不允许您检索密码或秘密访问密钥,并且不会存储属于密钥对一部分的私有密钥。但是,您可以创建新的凭证,然后禁用或删除原有的凭证。

注意

安全凭证特定于账户。如果您能够访问多个 AWS 账户,请使用与您希望访问的账户关联的凭证。

获取 AWS account root user凭证与获取 IAM 用户凭证不同。对于root user凭证,您可以从 AWS 管理控制台的安全凭证页面中获取凭证 (如访问密钥或密钥对)。对于 IAM 用户凭证,您可以从 IAM 控制台中获取凭证。

下面的列表介绍了 AWS 的安全凭证类型、您可能会在什么时候用到它们,以及如何获取 AWS account root user或 IAM 用户的每种类型的凭证。

电子邮件地址和密码 (根用户)

注册 AWS 时,您需要提供与您的 AWS 账户关联的电子邮件地址和密码。您可以使用这些 AWS account root user凭证登录 AWS 管理控制台、AWS 开发论坛或 AWS 支持中心等 AWS 网页。账户电子邮件地址和密码为根级凭证,使用这些凭证的任何人对账户中的所有资源均具有完全访问权限。我们建议您使用 IAM 用户名和密码来登录 AWS 网页。有关更多信息,请参阅 AWS 账户根用户凭证与 IAM 用户凭证

您可以前往 Security Credentials 页面更改电子邮件地址和密码。您还可以选择 AWS 登录页面上的 Forgot password? 来重置您的密码。

IAM 用户名和密码

当多个用户或应用程序需要访问您的 AWS 账户时,AWS Identity and Access Management (IAM) 允许您创建具有唯一性的 IAM 用户身份。用户可以使用自己的用户名和密码登录 AWS 管理控制台、AWS 开发论坛或 AWS 支持中心。 有时,使用某项服务(如使用 Amazon Simple Email Service (Amazon SES) 通过 SMTP 发送电子邮件)需要 IAM 用户名和密码。

有关 IAM 用户的更多信息,请参阅 IAM 用户指南中的身份(用户、组和角色)

您可以在创建时指定用户名。创建用户之后,您可以为每个用户创建密码。有关更多信息,请参阅 IAM 用户指南中的管理 IAM 用户的密码

注意

IAM 用户可以管理自己的密码,但前提是他们已获得相应的权限。有关更多信息,请参阅 IAM 用户指南中的允许 IAM 用户更改自己的密码

Multi-Factor Authentication (MFA)

多重验证 (MFA) 提供了额外的安全级别,可以应用于您的 AWS 账户。为了提高安全性,建议对 AWS account root user凭证和高特权 IAM 用户启用 MFA。有关更多信息,请参阅 IAM 用户指南 中的在 AWS 中使用 Multi-Factor Authentication (MFA)

启用 MFA 后,当您登录 AWS 网站时,系统会提示您输入用户名和密码以及来自 MFA 设备的身份验证代码。这些结合起来将为您的 AWS 账户设置和资源提供更高的安全保护。

默认情况下不启用 MFA(多重身份验证)。您可以前往安全凭证页面或 AWS 管理控制台中的 IAM 控制面板,为 AWS account root user启用和管理 MFA 设备。有关为 IAM 用户启用 MFA 的更多信息,请参阅 IAM 用户指南中的启用 MFA 设备

访问密钥 (访问密钥 ID 和秘密访问密钥)

访问密钥包含访问密钥 ID(例如 AKIAIOSFODNN7EXAMPLE)和秘密访问密钥(例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。如果您使用的是 AWS 软件开发工具包、REST 或查询 API 操作,则要使用访问密钥来签署对 AWS 发出的编程请求。AWS 开发工具包使用访问密钥为您签署请求,因此您不必处理签署过程。您也可以手动签署请求。有关更多信息,请参阅 签署 AWS API 请求

重要

请不要向第三方提供访问密钥,甚至是为了帮助找到您的规范用户 ID也是如此。如果您这样做,可能会向某人提供对您的账户的完全访问权限。

访问密钥也可以与命令行界面 (CLI) 一起使用。在使用 CLI 时,您发出的命令由您的访问密钥签署。您可以随命令传送这些密钥,也可以将其存储为计算机上的配置设置。

您还可以创建和使用临时访问密钥(称为临时安全凭证)。除了访问密钥 ID 和秘密访问密钥外,临时安全凭证还包括您在使用临时安全凭证时必须发送给 AWS 的安全令牌。临时安全凭证的优点是它们是短期使用的。在过期后,这些凭证将不再有效。在不太安全的环境中可以使用临时访问密钥,或者可以分配临时访问密钥以便向用户授予对您的 AWS 账户中资源的临时访问权限。例如,您可以授权其他 AWS 账户的实体访问您的 AWS 账户中的资源 (跨账户访问)。您也可以授权没有 AWS 安全凭证的用户访问您的 AWS 账户中的资源 (联合访问)。有关更多信息,请参阅 IAM 用户指南 中的临时安全凭证

您一次最多可拥有两个访问密钥(活动密钥或不活动密钥)。有关您的 AWS(根)账户,请参阅管理 AWS 账户的访问密钥。对于 IAM 用户,您可以通过 IAM 控制台创建 IAM 访问密钥。有关更多信息,请参阅 IAM 用户指南 中的创建、修改和查看访问密钥 (AWS 管理控制台)

重要

如果您或您的 IAM 用户忘记或丢失了秘密访问密钥,您可以创建新的访问密钥。

密钥对

密钥对由公有密钥和私有密钥构成。您可以使用私有密钥创建数字签名,然后 AWS 会使用相应的公有密钥验证签名。密钥对只用于 Amazon EC2 和 Amazon CloudFront。

对于 Amazon EC2,您可以使用密钥对访问 Amazon EC2 实例(例如,在使用 SSH 登录 Linux 实例时)。有关更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例)中的连接到您的 Linux 实例

对于 Amazon CloudFront,您可以使用密钥对为私有内容创建签名 URL(例如,当您要分配某人已付费的限制内容时)。有关更多信息,请参阅 Amazon CloudFront 开发人员指南 中的通过 CloudFront 提供私有内容

AWS 不会为您的账户提供密钥对,您必须自己创建。您可以使用 Amazon EC2 控制台、CLI 或 API 创建 Amazon EC2 密钥对。有关更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的 Amazon EC2 密钥对

使用 Security Credentials 页面创建 Amazon CloudFront 密钥对。只有 AWS account root user (非 IAM 用户) 可以创建 CloudFront 密钥对。有关更多信息,请参阅 Amazon CloudFront 开发人员指南 中的通过 CloudFront 提供私有内容