管理 IAM 用户的访问密钥 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

管理 IAM 用户的访问密钥

重要

作为一项 最佳实践,请使用临时安全凭证(例如 IAM 角色)而非创建访问密钥等长期凭证。在创建访问密钥之前,请认真阅读 长期访问密钥的替代方法

访问密钥是 IAM 用户或 Amazon Web Services 账户根用户 的长期凭证。您可以使用访问密钥签署对 Amazon CLI 或 Amazon API 的编程请求(直接或使用 Amazon 开发工具包)。有关更多信息,请参阅签署 Amazon API 请求

访问密钥包含两部分:访问密钥 ID(例如 AKIAIOSFODNN7EXAMPLE)和秘密访问密钥(例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。您必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。

当您创建访问密钥对时,将访问密钥 ID 和秘密访问密钥保存在一个安全位置。秘密访问密钥仅在您创建它时可用。如果您丢失了秘密访问密钥,则必须删除访问密钥并创建新的访问密钥。有关更多详细信息,请参阅重置您丢失或遗忘的 Amazon 密码或访问密钥

每个用户最多可有两个访问密钥。

重要

安全管理您的访问密钥。请不要向未经授权方提供访问密钥,即便是为了帮助找到您的账户标识符也不行。如果您这样做,可能会向某人提供对您的账户的永久访问权限。

以下主题详细介绍了与访问密钥相关的管理任务。

管理访问密钥所需的权限

注意

iam:TagUser 是用于添加和编辑访问密钥描述的可选权限。有关更多信息,请参阅 标记 IAM 用户

要为您自己的 IAM 用户创建访问密钥,您必须具有以下策略中的权限:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:GetUser", "iam:ListAccessKeys", "iam:TagUser" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

要为您自己的 IAM 用户更新访问密钥,您必须具有以下策略中的权限:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:GetAccessKeyLastUsed", "iam:GetUser", "iam:ListAccessKeys", "iam:UpdateAccessKey", "iam:TagUser" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

管理访问密钥(控制台)

您可以使用 Amazon Web Services Management Console 管理 IAM 用户的访问密钥。

创建、修改或删除您自己的访问密钥(控制台)
  1. 使用 Amazon 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台

    注意

    为方便起见,Amazon登录页面使用浏览器 Cookie 记住您的 IAM 用户名和账户信息。如果您之前以其他用户身份登录,请选择页面底部的 Sign-in to a different account(登录到其他账户)以返回主登录页面。在此处,您可以输入要重新导向到您账户 IAM 用户登录页面的 Amazon 账户 ID 或账户别名。

    要获取 Amazon Web Services 账户 ID,请联系管理员。

  2. 在右上角的导航栏中,选择您的用户名,然后选择 Security credentials(安全凭证)。

    
                  Amazon 管理控制台安全凭证链接
    注意

    安全凭证仅面向 Amazon Web Services 账户根用户 显示。IAM 用户可以从导航窗格管理访问密钥。

    1. 选择用户

    2. 在 Users(用户)列表中,选择 IAM 用户的名称。

    3. 选择 Security Credentials (安全证书) 选项卡。在访问密钥下,选择创建访问密钥

请执行以下操作之一:

创建访问密钥
  1. 访问密钥部分,选择创建访问密钥。如果您已经有两个访问密钥,则此按钮将被停用,您必须先删除一个访问密钥,然后才能创建新的访问密钥。

  2. Access key best practices & alternatives(访问密钥最佳实践和替代方法)页面上,请选择您的用例以了解可帮助您避免创建长期访问密钥的其他选项。如果您确定您的用例仍然需要访问密钥,请选择 Other(其他),然后选择 Next(下一步)。

  3. (可选)为访问密钥设置描述标记值。这会为您的 IAM 用户添加标签键/值对。这有助于您以后标识和更新访问密钥。标签密钥设置为访问密钥 ID。标签值设置为您指定的访问密钥描述。完成后,选择 Create access key(创建访问密钥)。

  4. Retrieve access keys(检索访问密钥)页面上,选择 Show(显示)来显示用户的秘密访问密钥的值,或选择 Download .csv file(下载 .csv 文件)。这是您保存秘密访问密钥的唯一机会。将秘密访问密钥保存在安全位置后,请选择 Done(完成)。

停用访问密钥
  • Access keys(访问密钥)部分中,找到要停用的密钥,选择 Actions(操作),然后选择 Deactivate(停用)。当系统提示您确认时,请选择 Deactivate (停用)。已停用的访问密钥仍会计入您的两个访问密钥限制。

激活访问密钥
  • Access keys(访问密钥)部分中,找到要激活的密钥,选择 Actions(操作),然后选择 Activate(激活)。

删除不再需要的访问密钥
  • Access keys(访问密钥)部分中,找到要删除的密钥,选择 Actions(操作),然后选择 Delete(删除)。按照对话框中的说明先 Deactivate(停用),然后确认删除。我们建议您在永久删除访问密钥之前验证该访问密钥是否已不再使用。

创建、修改或删除其他 IAM 用户的访问密钥(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择用户

  3. 选择要管理其访问密钥的用户的名称,然后选择 Security credentials (安全凭证) 选项卡。

  4. Access keys (访问密钥) 部分中,执行以下任意操作:

    • 要创建访问密钥,请选择创建访问密钥。如果按钮已停用,则必须先删除现有密钥中的一个,然后才能创建新密钥。在 Access key best practices & alternatives(访问密钥最佳实践和替代方法)页面上,查看最佳实践和替代方法。选择您的用例以了解可帮助您避免创建长期访问密钥的其他选项。如果您确定您的用例仍然需要访问密钥,请选择 Other(其他),然后选择 Next(下一步)。在 Retrieve access keys(检索访问密钥)页面上,选择 Show(显示)来显示用户的秘密访问密钥的值。要将访问密钥 ID 和秘密访问密钥以 .csv 文件形式保存计算机上的安全位置,请选择 Download .csv file(下载 .csv 文件)按钮。为用户创建访问密钥时,默认情况下,密钥对处于活动状态,并且您可以立即使用此密钥对。

    • 要停用活动的访问密钥,请选择 Actions(操作),然后选择 Deactivate(停用)。

    • 要激活非活动访问密钥,请选择 Actions(操作),然后选择 Activate(激活)。

    • 要删除您的访问密钥,请选择 Actions(操作),然后选择 Delete(删除)。按照对话框中的说明先 Deactivate(停用),然后确认删除。Amazon 建议在执行此操作之前,先停用该密钥并测试它是否已不再使用。使用 Amazon Web Services Management Console 时,必须先停用密钥,然后才能删除它。

列出 IAM 用户的访问密钥(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择用户

  3. 选择预期用户的名称,然后选择安全凭证选项卡。在 Access keys(访问密钥)部分,您将看到用户的访问密钥和显示的各个密钥的状态。

    注意

    只有用户的访问密钥 ID 是可见的。秘密访问密钥只能在创建密钥时检索到。

列出多个 IAM 用户的访问密钥 ID(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择用户

  3. 如有必要,可通过完成以下步骤来将 Access key ID 列添加到用户表中:

    1. 在最右侧的表上方,选择设置图标 ( 
                           Settings icon
                        )。

    2. Manage columns (管理列) 中,选择访问密钥 ID

    3. 选择 Close 返回到用户列表。

  4. 访问密钥 ID 列显示各个访问密钥 ID,后跟其状态;例如,23478207027842073230762374023 (活动)22093740239670237024843420327 (不活动)

    您可以利用该信息查看和复制具有一个或两个访问密钥的用户的访问密钥。对于没有访问密钥的用户,该列显示 None

    注意

    只有用户的访问密钥 ID 和状态是可见的。秘密访问密钥只能在创建密钥时检索到。

查找哪个 IAM 用户拥有特定的访问密钥(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择用户

  3. 在搜索框中,键入或粘贴要查找的用户的访问密钥 ID。

  4. 如有必要,可通过完成以下步骤来将 Access key ID 列添加到用户表中:

    1. 在最右侧的表上方,选择设置图标 ( 
                           Settings icon
                        )。

    2. Manage columns (管理列) 中,选择访问密钥 ID

    3. 选择 Close 返回用户列表,并确认筛选出的用户拥有指定的访问密钥。

管理访问密钥 (Amazon CLI)

要从 Amazon CLI 管理 IAM 用户的访问密钥,请运行以下命令。

管理访问密钥 (Amazon API)

要从 Amazon API 管理 IAM 用户的访问密钥,请调用以下操作。

更新访问密钥

作为一项安全最佳实践,建议您在需要时更新 IAM 用户访问密钥,例如员工从公司离职时。已获得必要权限的 IAM 用户可以更新自己的访问密钥。

有关如何向 IAM 用户授予自行更新访问密钥的详细信息,请参阅 Amazon:允许 IAM 用户在“安全凭证”页面上管理自己的密码、访问密钥和 SSH 公有密钥。您还可以将密码策略应用于您的账户,以要求所有 IAM 用户定期更新其密码,并规定必须执行这一操作的频率。有关更多信息,请参阅为 IAM 用户设置账户密码策略

更新 IAM 用户访问密钥(控制台)

您可以通过 Amazon Web Services Management Console更新访问密钥。

在不中断应用程序的情况下更新 IAM 用户的访问密钥(控制台)
  1. 当第一个访问密钥仍处于活动状态时,创建第二个访问密钥。

    1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

    2. 在导航窗格中,选择用户

    3. 选择预期用户的名称,然后选择安全凭证选项卡。

    4. 访问密钥部分,选择创建访问密钥。在 Access key best practices & alternatives(访问密钥最佳实践和替代方法)页面上,选择 Other(其他),然后选择 Next(下一步)。

    5. (可选)设置访问密钥的描述标签值,以向 IAM 用户添加标签键/值对。这有助于您以后标识和更新访问密钥。标签密钥设置为访问密钥 ID。标签值设置为您指定的访问密钥描述。完成后,选择 Create access key(创建访问密钥)。

    6. Retrieve access keys(检索访问密钥)页面上,选择 Show(显示)来显示用户的秘密访问密钥的值,或选择 Download .csv file(下载 .csv 文件)。这是您保存秘密访问密钥的唯一机会。将秘密访问密钥保存在安全位置后,请选择 Done(完成)。

      为用户创建访问密钥时,默认情况下,密钥对处于活动状态,并且您可以立即使用此密钥对。此时,用户拥有两个访问密钥。

  2. 更新所有应用程序和工具以使用新的访问密钥。

  3. 通过查看最早的访问密钥的 Last used(上次使用)信息来确定第一个访问密钥是否仍在使用。一种方法是等待几天,然后检查旧访问密钥是否被使用,然后再继续。

  4. 即使 Last used(上次使用)信息指示旧密钥从未使用过,我们还是建议您不要立即删除第一个访问密钥。相反,选择 Actions(操作),然后选择 Deactivate(停用)以停用第一个访问密钥。

  5. 仅使用新的访问密钥,以确认您的应用程序可以正常工作。此时,任何仍在使用初始访问密钥的应用程序和工具将停止工作,因为它们不再具有对 Amazon 资源的访问权限。如果您发现此类应用程序或工具,可以选择重新激活第一个访问密钥。然后返回到 步骤 3 并更新此应用程序以使用新的密钥。

  6. 在等待一段时间以确保所有应用程序和工具均已更新后,可以删除第一个访问密钥:

    1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

    2. 在导航窗格中,选择用户

    3. 选择预期用户的名称,然后选择安全凭证选项卡。

    4. 在要删除的访问密钥的 Access keys(访问密钥)部分中,选择 Actions(操作),然后选择 Delete(删除)。按照对话框中的说明先 Deactivate(停用),然后确认删除。

确定需要更新或删除的访问密钥(控制台)
  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择用户

  3. 如有必要,可通过完成以下步骤来将 Access key age 列添加到用户表中:

    1. 在最右侧的表上方,选择设置图标 ( 
                              Settings icon
                           )。

    2. Manage columns (管理列) 中,选择 Access key age (访问密钥使用期限)

    3. 选择 Close 返回到用户列表。

  4. Access key age 列显示最早的活动访问密钥自创建至今经过的天数。您可以利用此信息来确定可能需要更新或删除访问密钥的用户。对于没有访问密钥的用户,该列显示 None

更新访问密钥(Amazon CLI)

您可以通过 Amazon Command Line Interface 更新访问密钥。

在不中断应用程序的情况下更新访问密钥(Amazon CLI)
  1. 当第一个访问密钥仍处于活动状态时,创建第二个访问密钥,后者在默认情况下将处于活动状态。运行以下命令:

  2. 更新所有应用程序和工具以使用新的访问密钥。

  3. 通过使用以下命令,确定第一个访问密钥是否仍在使用:

    一种方法是等待几天,然后检查旧访问密钥是否被使用,然后再继续。

  4. 即使步骤 步骤 3 指示旧密钥未被使用,我们也建议您不要立即删除第一个访问密钥。而是通过以下命令,将第一个访问密钥的状态更改为 Inactive

  5. 仅使用新的访问密钥,以确认您的应用程序可以正常工作。此时,任何仍在使用初始访问密钥的应用程序和工具将停止工作,因为它们不再具有对 Amazon 资源的访问权限。如果您发现此类应用程序或工具,可将其状态切换回 Active 以重新激活第一个访问密钥。然后返回到步骤 步骤 2 并更新此应用程序以使用新的密钥。

  6. 在等待一段时间以确保所有应用程序和工具均已更新后,您可以通过以下命令删除第一个访问密钥:

更新访问密钥(Amazon API)

您可以使用 Amazon API 来更新访问密钥。

在不中断应用程序的情况下更新访问密钥(Amazon API)
  1. 当第一个访问密钥仍处于活动状态时,创建第二个访问密钥,后者在默认情况下将处于活动状态。调用以下操作:

  2. 更新所有应用程序和工具以使用新的访问密钥。

  3. 通过调用以下操作,确定第一个访问密钥是否仍在使用:

    一种方法是等待几天,然后检查旧访问密钥是否被使用,然后再继续。

  4. 即使步骤 步骤 3 指示旧密钥未被使用,我们也建议您不要立即删除第一个访问密钥。而是调用以下操作,将第一个访问密钥的状态更改为 Inactive

  5. 仅使用新的访问密钥,以确认您的应用程序可以正常工作。此时,任何仍在使用初始访问密钥的应用程序和工具将停止工作,因为它们不再具有对 Amazon 资源的访问权限。如果您发现此类应用程序或工具,可将其状态切换回 Active 以重新激活第一个访问密钥。然后返回到步骤 步骤 2 并更新此应用程序以使用新的密钥。

  6. 在等待一段时间以确保所有应用程序和工具均已更新后,您可以通过调用以下操作,删除第一个访问密钥:

保护访问密钥

拥有您的访问密钥的任何人将与您拥有相同的 Amazon 资源访问权限级别。因此,Amazon 全力保护您的访问密钥并确保符合我们的分担责任模型,您也应当如此。

展开以下各节以获取有助于您保护访问密钥的指导。

注意

贵组织的安全要求和策略可能与本主题中介绍的有所不同。此处提供的建议旨在用作一般准则。

保护账户的最佳方法之一是不为 Amazon Web Services 账户根用户设置访问密钥。除非必须具有根用户访问密钥(这种情况很少见),否则建议不要生成根用户访问密钥。而应在 Amazon IAM Identity Center 中创建一个管理用户来执行日常管理任务。有关如何在 IAM Identity Center 中创建管理用户的信息,请参阅《IAM Identity Center 用户指南》中的

如果您已经拥有账户的根用户访问密钥,建议您执行以下操作:找到您当前在应用程序中使用访问密钥的位置(如果有),然后使用 IAM 用户访问密钥替换根用户访问密钥。之后再禁用并移除根用户访问密钥。有关如何更新访问密钥的更多信息,请参阅 更新访问密钥

在许多情况下,您并不需要永不过期的长期访问密钥(如 IAM 用户访问密钥)。相反,您可以创建 IAM 角色并生成临时安全凭证。临时安全证书包括访问密钥 ID 和秘密访问密钥,以及一个指示证书何时到期的安全令牌。

长期访问密钥在被手动撤销之前将持续有效,例如与 IAM 用户和根用户相关的访问密钥。但是,通过 IAM 角色获取的临时安全凭证和 Amazon Security Token Service 的其他功能将在短时间内过期。凭证意外泄漏时,使用临时安全凭证可帮助降低您的风险。

在以下这些情况下使用 IAM 角色和临时安全凭证:

  • 您在 Amazon EC2 实例上运行一个应用程序或 Amazon CLI 脚本。请勿直接在应用程序中使用访问密钥。请勿采取以下做法:将访问密钥传递给应用程序、将访问密钥嵌入到应用程序中、让应用程序从任何源读取密钥。相反,请定义一个对您的应用程序具有适当权限的 IAM 角色,并使用 EC2 角色启动 Amazon Elastic Compute Cloud (Amazon EC2) 实例。执行此操作会将 IAM 角色与 Amazon EC2 实例相关联。利用这种做法,还可让应用程序获取临时安全凭证,然后再使用临时凭证以编程方式调用 Amazon。Amazon 软件开发工具包和 Amazon Command Line Interface (Amazon CLI) 可以自动获得角色的临时证书。

  • 您需要授予跨账户访问权限。使用 IAM 角色建立账户之间的信任,然后向用户授予有限的账户权限来访问可信账户。有关更多信息,请参阅IAM 教程:使用 IAM 角色委托跨 Amazon 账户的访问权限

  • 您拥有一个移动应用程序。请勿将访问密钥嵌入应用程序,即使是嵌入加密存储也不允许。而应使用 Amazon Cognito 管理应用程序中的用户身份。此服务让您可以使用 Login with Amazon、Facebook、Google 或任何与 OpenID Connect(OIDC)兼容的身份提供商进行用户身份验证。然后,您可以使用 Amazon Cognito 凭证提供程序来管理应用程序用于向 Amazon 发出请求的凭证。

  • 您希望向 Amazon 进行联合身份验证且贵组织支持 SAML 2.0。如果您所在的组织具有支持 SAML 2.0 的身份提供程序,请将提供程序配置为使用 SAML。您可以使用 SAML 与 Amazon 交换身份验证信息,并获得一组临时安全证书。有关更多信息,请参阅关于基于 SAML 2.0 的联合身份验证

  • 您希望向 Amazon 进行联合身份验证且贵组织拥有本地身份存储。如果用户可以在组织内部进行身份验证,您可以编写一个可向他们颁发用于访问 Amazon 资源的临时安全凭证的应用程序。有关更多信息,请参阅使自定义身份代理能够访问 Amazon 控制台

注意

您是否在将 Amazon EC2 实例与需要以编程方式访问 Amazon 资源的应用程序结合使用? 如果是,请使用 EC2 的 IAM 角色

如果您必须创建访问密钥才能以编程方式访问 Amazon,则应创建 IAM 用户的访问密钥,并仅向用户授予需要的权限。

请遵循以下预防措施来帮助保护 IAM 用户访问密钥:

  • 请勿直接将访问密钥嵌入到代码。利用 Amazon SDK Amazon 命令行工具,您可以将访问密钥放在已知位置,从而不必将其保留在代码中。

    在以下任一位置中放置访问密钥:

    • Amazon 凭证文件。Amazon 开发工具包和 Amazon CLI 自动使用您存储在 Amazon 凭证文件中的凭证。

      有关使用 Amazon 证书文件的信息,请参阅软件开发工具包文档。示例包括:Amazon SDK for Java 开发人员指南中的设置 Amazon 凭证和区域以及 Amazon Command Line Interface 用户指南中的配置和凭证文件

      要存储适用于 Amazon SDK for .NET 和 Amazon Tools for Windows PowerShell 的凭证,建议您使用 SDK Store。有关更多信息,请参阅《Amazon SDK for .NET 开发人员指南》中的使用 SDK 存储

    • 环境变量。在多租户系统上,选择用户环境变量,而不是系统环境变量。

      有关使用环境变量存储凭证的更多信息,请参阅《Amazon Command Line Interface 用户指南》中的环境变量

  • 对不同应用程序使用不同的访问密钥。这样可以在访问密钥泄露时隔离权限并撤销单个应用程序的访问密钥。为不同的应用程序设置不同的访问密钥也会在 Amazon CloudTrail 日志文件中生成不同的条目。通过此配置,您可以更轻松地确定哪个应用程序执行了特定的操作。

  • 在需要时更新访问密钥。如果存在访问密钥泄露的风险,请更新访问密钥并删除之前的访问密钥。有关详细信息,请参阅 更新访问密钥

  • 删除未使用的访问密钥。如果某个用户离开了贵组织,请删除相应的 IAM 用户,以使该用户无法再访问您的资源。要找出上次使用访问密钥的时间,请使用 GetAccessKeyLastUsed API(Amazon CLI 命令:aws iam get-access-key-last-used)。

  • 使用临时凭证并为最敏感的 API 操作配置多重身份验证。利用 IAM policy,可以指定用户可调用哪些 API 操作。在某些情况下,建议要求用户使用 Amazon MFA 进行身份验证,然后才允许其执行特别敏感的操作,从而提高安全性。例如,您可能拥有允许用户执行 Amazon EC2 RunInstancesDescribeInstancesStopInstances 操作的策略。但您可能希望限制破坏性操作(如 TerminateInstances),并确保用户只能在使用 Amazon MFA 设备进行身份验证后执行该操作。有关更多信息,请参阅配置受 MFA 保护的 API 访问

您可以使用 Amazon 移动应用程序访问一组有限的 Amazon 服务和功能。该移动应用程序可帮助您在外出时支持事件响应。如需了解更多信息和下载应用程序,请参阅 Amazon Console Mobile Application

您可以使用控制台密码或访问密钥登录移动应用程序。作为最佳实践,不建议使用根用户访问密钥。相反,除在移动设备上使用密码或生物识别锁外,我们强烈建议您还应使用移动应用程序创建一个专门的 IAM 用户来管理 Amazon 资源。如果您的移动设备丢失了,您可以删除 IAM 用户的访问权限。

使用访问密钥登录(移动应用程序)
  1. 在移动设备上打开该应用程序。

  2. 如果这是您第一次向设备添加身份,请选择 Add an identity (添加身份),然后选择 Access keys (访问密钥)

    如果您已使用其他身份登录,请选择菜单图标并选择 Switch identity (切换身份)。然后选择 Sign in as a different identity (以其他身份登录),然后选择 Access keys (访问密钥)

  3. Access keys (访问密钥) 页面上输入您的信息。

    • Access key ID (访问密钥 ID) – 输入您的访问密钥 ID。

    • Secret access key (秘密访问密钥) – 输入您的秘密访问密钥。

    • Identity name (身份名称) – 输入将在移动应用程序中显示的身份名称。此名称不需要与您的 IAM 用户名一致。

    • Identity PIN (身份 PIN) – 创建将来在登录时使用的个人身份识别码(PIN)。

      注意

      如果您为 Amazon 移动应用程序启用了生物识别技术,系统将提示您使用指纹或面部识别(而非 PIN)进行验证。如果生物识别失败,系统可能会提示您输入 PIN。

  4. 选择 Verify and add keys (验证并添加密钥)

    现在,您就可以使用移动应用程序访问一组选定的资源。

以下主题提供了有关设置 Amazon SDK 和 Amazon CLI 以使用访问密钥的指导:

审计访问密钥

您可以在代码中查看 Amazon 访问密钥,以确定密钥是否来自于您拥有的账户。您可以使用 aws sts get-access-key-info Amazon CLI 命令或 GetAccessKeyInfo Amazon API 操作传递访问密钥 ID。

Amazon CLI 和 Amazon API 操作返回访问密钥所属的 Amazon Web Services 账户 的 ID。以 AKIA 开头的访问密钥 ID 是 IAM 用户或 Amazon Web Services 账户根用户 的长期凭证。以 ASIA 开头的访问密钥 ID 是使用 Amazon STS 操作创建的临时凭证。如果响应中的账户属于您,则您可以根用户的身份登录并查看您的根用户访问密钥。然后,您可以提取凭证报告以了解哪个 IAM 用户拥有这些密钥。要了解谁请求了 ASIA 访问密钥的临时凭证,请查看 CloudTrail 日志中的 Amazon STS 事件。

为了安全起见,您可以查看 Amazon CloudTrail 日志以了解已在 Amazon 中执行操作的人员。您可以在角色信任策略中使用 sts:SourceIdentity 条件键,以要求用户在代入角色时指定身份。例如,您可以要求 IAM 用户指定自己的用户名作为其源身份。这可以帮助您确定哪个用户在 Amazon 中执行了具体的操作。有关更多信息,请参阅sts:SourceIdentity

该操作不指示访问密钥的状态。密钥可能处于活动状态、非活动状态或已删除状态 非活动密钥可能没有执行操作的权限。提供删除的访问密钥可能会返回“密钥不存在”错误。