使用 Amazon 访问密钥进行 Amazon SDK 和工具的身份验证 - Amazon SDK 和工具
使用短期凭证使用长期凭证
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon 访问密钥进行 Amazon SDK 和工具的身份验证

使用 Amazon 访问密钥是使用 Amazon SDK 和工具时进行身份验证的方式之一。

使用短期凭证

我们建议将您的 SDK 或工具配置为使用 使用 IAM Identity Center 进行 Amazon SDK 和工具的身份验证 以使用延长的会话持续时间选项。

但是,要直接设置 SDK 或工具的临时凭证,请参阅 使用短期凭证进行 Amazon SDK 和工具的身份验证

使用长期凭证

警告

为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证,而是使用与身份提供者的联合身份验证,例如 Amazon IAM Identity Center

管理跨 Amazon Web Services 账户的访问权限

作为安全性方面的最佳实践,我们建议使用 Amazon Organizations 和 IAM Identity Center 来管理跨所有 Amazon Web Services 账户的访问权限。有关更多信息,请参阅《IAM 用户指南》中的 IAM 安全最佳实践

您可以在 IAM Identity Center 中创建用户、使用 Microsoft Active Directory、使用 SAML 2.0 身份提供者 (IdP),或者单独将 IdP 与 Amazon Web Services 账户联合。您可以使用其中一种方法,为用户提供单点登录体验。您还可以针对 Amazon Web Services 账户访问权限强制执行多重身份验证 (MFA) 并使用临时凭证。这与 IAM 用户不同,后者是一种可以共享的长期凭证,并且可能会增加 Amazon 资源的安全风险。

仅为沙盒环境创建 IAM 用户

如果您不熟悉 Amazon,可以创建一个测试 IAM 用户,然后用其来运行教程并探索 Amazon 所提供的内容。在学习时可以使用此类凭证,但我们建议您避免在沙盒环境之外使用。

对于以下用例,开始阶段在 Amazon 中使用 IAM 用户是可以的:

  • 开始使用 Amazon 开发工具包或工具,以及在沙盒环境中进行探索 Amazon Web Services 服务。

  • 在学习过程中,运行不支持人工参与登录流程的计划脚本、作业和其他自动化流程。

如果您在这些用例之外使用 IAM 用户,请尽快过渡到 IAM Identity Center 或将您的身份提供者与 Amazon Web Services 账户联合。有关更多信息,请参阅 Amazon 中的身份联合验证

确保 IAM 用户访问密钥安全

您应该定期轮换 IAM 用户访问密钥。参阅《IAM 用户指南》,按照轮换访问密钥中的指导进行操作。如果您认为自己不小心共享了您的 IAM 用户访问密钥,请轮换您的访问密钥。

IAM 用户访问密钥应存储在本地计算机上的共享 Amazon credentials 文件中。请勿将 IAM 用户访问密钥存储在您的代码中。请勿将包含 IAM 用户访问密钥的配置文件存储到任何源代码管理软件中。开源项目 git-secrets 等外部工具可以帮助您避免无意中将敏感信息提交到 Git 存储库。有关更多信息,请参阅 IAM 用户指南 中的 IAM 身份(用户、用户组和角色)

要设置 IAM 用户以开始使用,请参阅 使用长期凭证进行 Amazon SDK 和工具的身份验证