Amazon Web Services
一般参考 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

了解并获取您的安全凭证

根据与 AWS 交互的方式使用不同类型的安全凭证。例如,您可以使用用户名和密码登录 AWS 管理控制台。使用访问密钥以编程方式调用 AWS API 操作或使用 AWS CLI 命令。

如果您忘记或丢失了凭证,您无法恢复它们。出于安全考虑,AWS 不允许您检索密码或秘密访问密钥,并且不会存储属于密钥对一部分的私有密钥。但是,您可以创建新的凭证,然后禁用或删除旧凭证。

注意

安全凭证特定于账户。如果您能够访问多个 AWS 账户,请使用与您希望访问的账户关联的凭证。

获取 AWS 账户根用户凭证与获取 IAM 用户凭证不同。对于根用户凭证,从 AWS 管理控制台的 Security Credentials (安全凭证) 页面中获取凭证(如访问密钥或密钥对)。对于 IAM 用户凭证,从 IAM 控制台获取凭证。

下面的列表介绍了 AWS 的安全凭证类型、您可能会在什么时候用到它们,以及如何获取 AWS 账户根用户或 IAM用户的每种类型的凭证。

电子邮件和密码 (根用户)

When you first create an Amazon Web Services (AWS) account, you begin with a single sign-in identity that has complete access to all AWS services and resources in the account. This identity is called the AWS account 根用户 and is accessed by signing in with the email address and password that you used to create the account.

重要

We strongly recommend that you do not use the 根用户 for your everyday tasks, even the administrative ones. Instead, adhere to the best practice of using the 根用户 only to create your first IAM user. Then securely lock away the 根用户 credentials and use them to perform only a few account and service management tasks. To view the tasks that require you to sign in as the 根用户, see AWS Tasks That Require Root User.

使用您的 AWS 账户电子邮件地址和密码以 AWS 账户根用户 身份登录 AWS 管理控制台

注意

如果您之前已使用 IAM 用户 凭证登录控制台,则您的浏览器可能会记住此首选项,并打开您的账户特定的登录页。您不能在 IAM 用户登录页面使用 AWS 账户根用户 凭证进行登录。如果您看到 IAM 用户登录页面,请选择页面底部附近的 Sign-in using 根用户 credentials 以返回到主登录页面。在此处,您可以键入您的 AWS 账户电子邮件地址和密码。

您可以前往 Security Credentials 页面更改电子邮件地址和密码。您还可以选择 AWS 登录页面上的 Forgot password? 来重置您的密码。

IAM 用户名和密码

使用 AWS Identity and Access Management (IAM) 在 AWS 中创建唯一用户身份。IAM 用户在登录 AWS 管理控制台、AWS 开发论坛或 AWS 支持中心时提供其用户名和密码。在某些情况下,需要 IAM 用户名和密码才能使用服务(如通过使用 Amazon Simple Email Service (Amazon SES) 利用 SMTP 发送电子邮件)。

有关 IAM 用户的更多信息,请参阅 IAM 用户指南 中的身份(用户、组和角色)

您可以在创建时指定用户名。(可选)您可以为每个用户创建密码。有关更多信息,请参阅 IAM 用户指南 中的管理 IAM 用户的密码

注意

IAM 用户可以管理自己的密码,但前提是他们已获得相应的权限。有关更多信息,请参阅 IAM 用户指南 中的允许 IAM 用户更改自己的密码

Multi-Factor Authentication (MFA)

多重验证 (MFA) 提供了额外的安全级别,可以应用于您的 AWS 账户。为了提高安全性,建议对 AWS 账户根用户凭证和高特权 IAM 用户启用 MFA。有关更多信息,请参阅 IAM 用户指南 中的在 AWS 中使用 Multi-Factor Authentication (MFA)

启用 MFA 后,当您登录 AWS 网站时,系统会提示您输入用户名和密码以及来自 MFA 设备的身份验证代码。这些结合起来将为您的 AWS 账户设置和资源提供更高的安全保护。

默认情况下不启用 MFA (multi-factor authentication)。您可以前往 AWS 管理控制台中的 Security Credentials (安全凭证) 页面或 IAM 控制面板,为 AWS 账户根用户启用和管理 MFA 设备。有关为 IAM 用户启用 MFA 的更多信息,请参阅 IAM 用户指南 中的启用 MFA 设备

访问密钥 (访问密钥 ID 和秘密访问密钥)

访问密钥包含两部分:访问密钥 ID(例如 AKIAIOSFODNN7EXAMPLE)和秘密访问密钥(例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。如果您使用 AWS CLI 命令(使用开发工具包)或使用 AWS API 操作,则使用访问密钥为您对 AWS 发出的编程请求签名。有关更多信息,请参阅签署 AWS API 请求。与用户名和密码一样,您必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。像对用户名和密码一样,安全地管理访问密钥。

当您创建访问密钥时,您会将访问密钥 ID 和秘密访问密钥创建为一个集。在创建访问密钥的过程中,AWS 仅允许您查看和下载一次访问密钥的秘密访问密钥部分。如果您未下载或丢失了访问密钥,则可删除访问密钥,然后创建新的访问密钥。您可以通过 IAM 控制台、AWS CLI 或 AWS API 创建 IAM 用户访问密钥。有关更多信息,请参阅 IAM 用户指南 中的管理 IAM 用户的访问密钥。要为您的 AWS 账户根用户创建访问密钥,您必须使用 AWS 管理控制台。有关更多信息,请参阅 IAM 用户指南中的管理 AWS 账户根用户的访问密钥。强烈建议您不使用 根用户 执行日常任务,即使是管理任务。请遵守仅将根用户用于创建首个 IAM 用户的最佳实践。然后请妥善保存 根用户 凭证,仅用它们执行少数账户和服务管理任务。要查看需要您以根用户身份登录的任务,请参阅需要根用户的 AWS 任务

重要

请不要向第三方提供访问密钥,甚至是为了帮助找到您的规范用户 ID也是如此。如果您这样做,可能会向某人提供对您的账户的完全访问权限。

新创建的访问密钥的状态为已激活,这意味着,您可以使用访问密钥进行 CLI 和 API 调用。每个 IAM 用户限于两个访问密钥,这在您需要轮换访问密钥时很有用。您还可以为根用户分配多达两个访问密钥。在禁用访问密钥时,不能将其用于 API 调用,非活动密钥仍会计入限制。您随时可以创建或删除访问密钥。不过,当您删除访问密钥时,意味着永久删除且无法恢复。

您还可以创建和使用临时访问密钥(称为临时安全凭证)。除了访问密钥 ID 和秘密访问密钥外,临时安全凭证还包括您在使用临时安全凭证时必须发送给 AWS 的安全令牌。临时安全凭证的优点是它们是短期使用的。在过期后,这些凭证将不再有效。在不太安全的环境中可以使用临时访问密钥,或者可以分配临时访问密钥以便向用户授予对您的 AWS 账户中资源的临时访问权限。例如,您可以授权其他 AWS 账户的实体访问您的 AWS 账户中的资源(跨账户访问)。您也可以授权没有 AWS 安全凭证的用户访问您的 AWS 账户中的资源(联合身份验证)。有关更多信息,请参阅 IAM 用户指南 中的临时安全凭证。有关 IAM 创建的唯一 ID 的信息,包括其前缀(如上述 AKIAIOSFODNN7EXAMPLE 中使用的 AKIA),请参阅 IAM 用户指南 中的 IAM 标识符

密钥对

密钥对与访问密钥无关,由公有密钥和私有密钥构成。您可以使用私有密钥创建数字签名,然后 AWS 会使用相应的公有密钥验证签名。密钥对只用于 Amazon EC2 和 Amazon CloudFront。

对于 Amazon EC2,您可以使用密钥对访问 Amazon EC2 实例(例如,在使用 SSH 登录 Linux 实例时)。有关更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的连接到 Linux 实例

对于 Amazon CloudFront,您可以使用密钥对为私有内容创建签名 URL(例如,当您要分配某人已付费的限制内容时)。有关更多信息,请参阅 Amazon CloudFront 开发人员指南 中的通过 CloudFront 提供私有内容

AWS 不会为您的账户提供密钥对,您必须自己创建。您可以使用 Amazon EC2 控制台、CLI 或 API 创建 Amazon EC2 密钥对。有关更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的 Amazon EC2 密钥对

通过 Security Credentials (安全凭证) 页面创建 Amazon CloudFront 密钥对。仅 AWS 账户根用户(非 IAM 用户)可以创建 CloudFront 密钥对。有关更多信息,请参阅 Amazon CloudFront 开发人员指南 中的通过 CloudFront 提供私有内容