AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

管理 IAM 用户的访问密钥

注意

如果您查找此主题是因为您正在尝试配置 Product Advertising API 以在您的网站上销售 Amazon 产品,请参阅这些主题:

用户需要使用自己的访问密钥,从 AWS Command Line Interface (AWS CLI)、Windows PowerShell 工具AWS 软件开发工具包对 AWS 进行编程调用,或使用各个 AWS 服务的 API 直接进行 HTTP 调用。要满足这一需要,您可以创建、修改、查看或轮换 IAM 用户的访问密钥 (访问密钥 ID 和秘密访问密钥)。

创建访问密钥时,IAM 将返回访问密钥 ID 和秘密访问密钥。您应将这些键保存到安全的位置并将其提供给用户。

重要

为确保您的 AWS 账户的安全,秘密访问密钥仅在您创建它时可用。如果秘密访问密钥丢失,则必须删除相关用户的访问密钥,然后创建新的密钥。有关更多信息,请参阅重置您丢失或遗忘的密码或访问密钥

默认情况下,当您创建访问密钥时,其状态为 Active,这意味着用户可使用该访问密钥执行 AWS CLI、Windows PowerShell 工具 和 API 调用。每个用户可拥有两组有效访问密钥,这在您必须轮换用户的访问密钥时非常有用。您可以禁用用户的访问密钥,这意味着该密钥不能用于 API 调用。您在轮换密钥或取消用户对 API 的访问时,可以执行此操作。

您可以随时删除访问密钥。不过,当您删除访问密钥时,意味着永久删除且无法恢复。(您始终可以创建新的密钥。)

您可授予用户列出、轮换和管理自己的密钥的权限。有关更多信息,请参阅 允许用户管理自己的密码、访问密钥和 SSH 密钥

有关与 AWS 和 IAM 一起使用的凭证的更多信息,请参阅 Amazon Web Services 一般参考 中的临时安全凭证安全凭证的类型

创建、修改和查看访问密钥 (控制台)

您可以使用 AWS 管理控制台管理 IAM 用户的访问密钥。

列出多个用户的访问密钥 ID

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 如有必要,可通过完成以下步骤来将 Access key ID 列添加到用户表中:

    1. 在最右侧的表上方,选择设置图标 (  设置图标 )。

    2. Manage Columns 中,选择 Access key ID

    3. 选择 Close 返回到用户列表。

  4. Access key ID 列包含访问密钥 ID。您可以利用该信息查看和复制具有一个或两个访问密钥的用户的访问密钥。该列还显示访问密钥是 (Active) 还是 (Inactive)。对于没有访问密钥的用户,该列显示 None

    注意

    只有用户的访问密钥 ID 和状态是可见的。秘密访问密钥只能在创建密钥时检索到。

查找哪个用户拥有特定的访问密钥

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 在搜索框中,键入或粘贴要查找的用户的访问密钥 ID。

  4. 如有必要,可通过完成以下步骤来将 Access key ID 列添加到用户表中:

    1. 在最右侧的表上方,选择设置图标 (  设置图标 )。

    2. Manage Columns 中,选择 Access key ID

    3. 选择 Close 返回用户列表,并确认筛选出的用户拥有指定的访问密钥。

列出用户访问密钥的步骤

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择预期用户的名称,然后选择 Security Credentials 选项卡。将显示用户的访问密钥和每个密钥的状态。

    注意

    只有用户的访问密钥 ID 是可见的。秘密访问密钥只能在创建密钥时检索到。

创建、修改或删除用户访问密钥的步骤

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择所需用户的名称,然后选择 Security Credentials 选项卡。

  4. 如果需要,请展开 Access Keys 部分并执行以下任意操作:

    • 要创建访问密钥,请选择 Create Access Key,然后单击 Download Credentials,将访问密钥 ID 和秘密访问密钥保存至计算机上的 CSV 文件。将文件存储在安全位置。关闭此对话框后,您将无法再次访问该秘密访问密钥。下载 CSV 文件之后选择 Close

    • 要禁用活动访问密钥,请选择 Make Inactive

    • 要重新启用非活动访问密钥,请选择 Make Active

    • 要删除访问密钥,请选择 Delete,然后选择 Delete 进行确认。

创建、修改和查看访问密钥 (API、CLI、PowerShell)

要从 AWS CLI、Windows PowerShell 工具 或 AWS API 管理用户的访问密钥,请使用以下命令:

创建访问密钥

禁用或重新启用访问密钥

列出用户访问密钥的步骤

确定最近使用访问密钥的时间

删除访问密钥

轮换访问密钥

作为一项最佳安全做法,我们建议管理员定期轮换 (更改) 账户中 IAM 用户的访问密钥。如果用户有必要权限,则他们可以轮换自己的访问密钥。有关如何向用户授予权限以轮换他们自己的访问密钥的信息,请参阅允许用户管理自己的密码、访问密钥和 SSH 密钥

您还可以将密码策略应用于您的账户,以要求所有 IAM 用户定期轮换其密码。您可以选择这些用户必须执行此操作的频率。有关更多信息,请参阅 为 IAM 用户设置账户密码策略

重要

如果您使用 AWS 账户根用户 凭证,建议您还要定期轮换这些凭证。此账户密码策略不适用于 根用户 凭证。IAM 用户无法管理 AWS 账户根用户 的凭证,因此您必须使用 根用户 凭证 (而不是用户凭证) 来更改 根用户 凭证。请注意,我们建议进行 AWS 日常工作时不要使用 根用户。

确定何时需要轮换访问密钥 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 如有必要,可通过完成以下步骤来将 Access key age 列添加到用户表中:

    1. 在最右侧的表上方,选择设置图标 (  设置图标 )。

    2. Manage Columns 中,选择 Access key age

    3. 选择 Close 返回到用户列表。

  4. Access key age 列显示最早的活动访问密钥自创建至今经过的天数。您可以利用该信息查找需要轮换访问密钥的用户。对于没有访问密钥的用户,该列显示 None

在不中断应用程序的情况下轮换访问密钥 (控制台)

下列步骤描述了轮换访问密钥而不中断您的应用程序的一般流程。这些步骤说明用于轮换访问密钥的 AWS CLI、Windows PowerShell 工具 和 AWS API 命令。您也可以使用控制台来执行这些任务;有关详细信息,请参阅上述部分中的创建、修改和查看访问密钥 (控制台)

  1. 当第一个访问密钥仍处于活动状态时,创建第二个访问密钥,后者在默认情况下将处于活动状态。此时,用户拥有两个访问密钥。

    1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

    2. 在导航窗格中,选择 Users

    3. 选择预期用户的名称,然后选择 Security Credentials 选项卡。

    4. 选择 Create Access Key,然后选择 Download Credentials,将访问密钥 ID 和秘密访问密钥保存至计算机上的 .csv 文件。将文件存储在安全位置。完成此步骤后,您将无法再访问这些秘密访问密钥。下载 .csv 文件之后选择 Close

  2. 更新所有应用程序和工具以使用新的访问密钥。

  3. 通过查看最早的访问密钥的 Last used 列来确定第一个访问密钥是否仍在使用。一种方法是等待几天,然后检查旧访问密钥是否被使用,然后再继续。

  4. 即使 Last used 列值指示旧密钥从未使用过,我们还是建议您不要立即删除第一个访问密钥。您可以选择 Make inactive 来停用第一个访问密钥。

  5. 仅使用新的访问密钥,以确认您的应用程序可以正常工作。此时,任何仍在使用初始访问密钥的应用程序和工具将停止工作,因为它们不再具有对 AWS 资源的访问权限。如果您发现此类应用程序或工具,可以选择 Make active 来重新启用第一个访问密钥。然后返回到 步骤 3 并更新此应用程序以使用新的密钥。

  6. 在等待一段时间以确保所有应用程序和工具均已更新后,可以删除第一个访问密钥:

    1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

    2. 在导航窗格中,选择 Users

    3. 选择预期用户的名称,然后选择 Security Credentials 选项卡。

    4. 依次选择 Create Access KeyDelete,然后选择 Delete 确认。

在不中断应用程序的情况下轮换访问密钥 (API、CLI、PowerShell)

  1. 当第一个访问密钥仍处于活动状态时,创建第二个访问密钥,后者在默认情况下将处于活动状态。此时,用户拥有两个访问密钥。

  2. 更新所有应用程序和工具以使用新的访问密钥。

  3. 确定第一个访问密钥是否仍在使用:

    一种方法是等待几天,然后检查旧访问密钥是否被使用,然后再继续。

  4. 即使步骤 步骤 3 指示旧密钥未被使用,我们也建议您不要立即删除第一个访问密钥。而是将第一个访问密钥的状态更改为 Inactive

  5. 仅使用新的访问密钥,以确认您的应用程序可以正常工作。此时,任何仍在使用初始访问密钥的应用程序和工具将停止工作,因为它们不再具有对 AWS 资源的访问权限。如果您发现此类应用程序或工具,可将其状态切换回 Active 以重新启用第一个访问密钥。然后返回到步骤 步骤 2 并更新此应用程序以使用新的密钥。

  6. 在等待一段时间以确保所有应用程序和工具均已更新后,可以删除第一个访问密钥。

有关更多信息,请参阅下列内容: