了解并获取您的Amazon凭证 - Amazon 一般参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

了解并获取您的Amazon凭证

Amazon需要不同类型的安全凭证,具体取决于您访问Amazon的方式。例如,您需要用户名和密码才能登录Amazon Web Services Management Console,并且需要访问密钥才能以编程方式调用Amazon或使用 Amazon Command Line Interface 或 Amazon Tools for PowerShell。

Considerations

  • 请务必将以下内容保存在一个安全位置:与您的Amazon账户关联的电子邮件地址、Amazon账户 ID、您的密码和秘密访问密钥。如果您忘记或丢失了这些凭证,您无法恢复它们。出于安全原因,Amazon不为您或其他任何人提供检索您的凭证的方法。

  • 我们强烈建议您创建一个具有管理员权限的 IAM 用户,以用于日常Amazon任务并锁定根用户的密码和访问密钥。仅将根用户用于仅限于根用户的任务。

  • 安全凭证特定于账户。如果您有权访问多个Amazon账户,则每个账户都必须有单独的凭证。

  • 不要将您的Amazon凭证提供给第三方。

控制台访问

Amazon中有两种不同类型的用户。您是账户拥有者(根用户),或者是 Amazon Identity and Access Management(IAM)用户。如何登录Amazon Web Services Management Console取决于您是根用户还是 IAM 用户。

根用户电子邮件地址和密码

首次创建Amazon账户时,您需要为该账户指定一个电子邮件地址,并为根用户指定一个密码。要以根用户身份登录您的Amazon账户,您需要提供此电子邮件地址和密码。根用户可以登录Amazon Web Services Management Console并使用 Security Credentials (安全凭证) 页面更改账户名称、电子邮件地址和密码。如果您忘记了根用户的密码,请打开控制台登录页面并选择 Forgot password? (忘记密码?) 来重置您的密码。

IAM 用户名和密码

IAM 用户由根用户或 Amazon 账户中的 IAM 管理员创建。创建您的 IAM 用户的用户应向您提供账户别名或 12 位Amazon账户 ID、IAM 用户名和 IAM 用户的密码。IAM 用户可以使用控制台登录页面或以下登录 URL 登录,将 account_id_or_alias 替换为提供给您的账户别名或Amazon账户 ID:

https://account_id_or_alias.signin.aws.amazon.com/console/

如果您忘记了 IAM 用户的密码,请联系您的 IAM 管理员或账户拥有者。如果您的 IAM 管理员授予您管理自己Amazon凭证的权限,那么您可以使用 Security Credentials (安全凭证) 页面定期更改密码,这是安全最佳实践。

多重验证 (MFA)

多重验证 (MFA) 提供了额外的安全级别,可以应用于您的 Amazon 账户。为了提高安全性,我们建议您对Amazon Web Services 账户根用户凭证和高权限 IAM 用户要求使用 MFA。有关更多信息,请参阅《IAM 用户指南》中的在Amazon中使用多重身份验证(MFA)

启用 MFA 后,当您登录Amazon账户时,系统会提示您输入用户名和密码以及来自 MFA 设备的身份验证代码。添加 MFA 将为您的Amazon账户设置和资源提供更高的安全保护。

默认情况下不启用 MFA (multi-factor authentication)。您可以前往 Security Credentials (安全凭证) 页面或Amazon Web Services Management Console中的 IAM 控制面板,为Amazon Web Services 账户根用户启用和管理 MFA 设备。有关为 IAM 用户启用 MFA 的更多信息,请参阅《IAM 用户指南》中的启用 MFA 设备

以编程方式访问

您必须提供Amazon访问密钥才能以编程方式调用 Amazon 或使用 Amazon Command Line Interface 或 Amazon Tools for PowerShell。

创建访问密钥时,您将访问密钥 ID(例如 AKIAIOSFODNN7EXAMPLE)和秘密访问密钥(例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)创建为一组。秘密访问密钥仅在您创建它时可供下载。如果您没有下载秘密访问密钥或丢失了它,则必须创建新的秘密访问密钥。

您最多可以为每个用户(根用户或 IAM 用户)分配两个访问密钥。当您想要轮换访问密钥时,拥有两个访问密钥非常有用。当您禁用访问密钥时,您将无法使用它,但它会计入您的两个访问密钥限制。删除访问密钥后,意味着它将被永久删除且无法恢复,但可以替换为新的访问密钥。

以根用户身份登录时管理访问密钥

  1. 以根用户身份登录Amazon Web Services Management Console 有关更多信息,请参阅《IAM 用户指南》中的以根用户身份登录

  2. 在右上角的导航栏中,选择您的账户名称或编号,然后选择 My Security Credentials (我的安全凭证)

  3. 展开 Access keys (access key ID and secret access key) 部分。

  4. 请执行下列操作之一:

    • 要创建访问密钥,请选择 Create New Access Key (创建新的访问密钥)。如果您已经有两个访问密钥,则此按钮将被禁用,您必须先删除一个访问密钥,然后才能创建新的访问密钥。系统提示时,选择 Show Access Key (显示访问密钥) 或者 Download Key File (下载密钥文件)。这是您保存秘密访问密钥的唯一机会。将秘密访问密钥保存在安全位置后,请选择 Close (关闭)

    • 要停用访问密钥,请选择 Make Inactive (转为非活跃)。当系统提示您确认时,请选择 Deactivate (停用)。已停用的访问密钥仍会计入您的两个访问密钥限制。

    • 要激活访问密钥,请选择 Make Active (转为活跃)

    • 要在不再需要访问密钥时删除访问密钥,请复制访问密钥 ID,然后选择 Delete (删除)。在删除访问密钥之前,您必须选择 Deactivate (停用)。我们建议您在永久删除访问密钥之前验证该访问密钥是否已不再使用。要确认删除,请将访问密钥 ID 粘贴到文本输入字段中,然后选择 Delete (删除)

以 IAM 用户身份登录时管理访问密钥

  1. 以 IAM 用户身份登录Amazon Web Services Management Console。有关更多信息,请参阅《IAM 用户指南》中的以 IAM 用户身份登录

  2. 在右上角的导航栏中,选择您的用户名,然后选择 My Security Credentials (我的安全凭证)

    提示

    如果您没有看到 My Security Credentials (我的安全凭证) 页面,您可能以联合身份用户登录,而非 IAM 用户身份登录。您可以改为创建和使用临时访问密钥

  3. 请执行下列操作之一:

    • 要创建访问密钥,请选择创建访问密钥。如果您已经有两个访问密钥,则此按钮将被禁用,您必须先删除一个访问密钥,然后才能创建新的访问密钥。系统提示时,选择 Show secret access key (显示秘密访问密钥) 或者 Download .csv file (下载 .csv 文件)。这是您保存秘密访问密钥的唯一机会。将秘密访问密钥保存在安全位置后,请选择 Close (关闭)

    • 要停用访问密钥,请选择 Make inactive (转为非活跃)。当系统提示您确认时,请选择 Deactivate (停用)。已停用的访问密钥仍会计入您的两个访问密钥限制。

    • 要激活访问密钥,请选择 Make active (转为活跃)。当系统提示进行确认时,选择 Make active (转为活跃)

    • 要在不再需要访问密钥时删除访问密钥,请复制访问密钥 ID,然后选择 Delete (删除)。这将停用访问密钥。我们建议您在永久删除访问密钥之前验证该访问密钥是否已不再使用。要确认删除,请将访问密钥 ID 粘贴到文本输入字段中,然后选择 Delete (删除)

临时访问密钥

您还可以创建和使用临时访问密钥(称为临时安全凭证)。除了访问密钥 ID 和秘密访问密钥外,临时安全凭证还包括您在使用临时安全凭证时必须发送给 Amazon 的安全令牌。临时安全凭证的优点是它们是短期使用的。在过期后,这些凭证将不再有效。在不太安全的环境中可以使用临时访问密钥,或者可以分配临时访问密钥以便向用户授予对您的 Amazon 账户中资源的临时访问权限。例如,您可以授权其他 Amazon 账户的实体访问您的 Amazon 账户中的资源(跨账户访问)。您也可以授权没有 Amazon 安全凭证的用户访问您的 Amazon 账户中的资源(联合身份验证)。有关更多信息,请参阅 aws sts 代入角色