訪問密鑰(AccessKey)常見問題
本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務造成影響,請務必仔細閱讀。
本文為您介紹訪問密鑰(AccessKey)相關的一些常見問題。包括什么是AccessKey、如何查看AccessKey、AccessKey是否還在使用、AccessKey泄露后如何處理等。
什么是AccessKey
訪問密鑰AccessKey(簡稱AK)是阿里云提供給用戶的永久訪問憑據(jù),一組由AccessKey ID和AccessKey Secret組成的密鑰對。
AccessKey ID:用于標識用戶。
AccessKey Secret:是一個用于驗證您擁有該AccessKey ID的密碼。
AccessKey ID和AccessKey Secret根據(jù)算法由訪問控制(RAM)生成,阿里云對AccessKey ID和AccessKey Secret的存儲及傳輸均進行加密。
AccessKey不用于控制臺登錄,用于通過開發(fā)工具(API、CLI、SDK、Terraform等)訪問阿里云時,發(fā)起的請求會攜帶AccessKey ID和AccessKey Secret加密請求內(nèi)容生成的簽名,進行身份驗證及請求合法性校驗。
阿里云賬號(主賬號)默認擁有當前賬號下所有云資源的Administrator權限,且無法修改。阿里云賬號(主賬號)的AccessKey泄露會威脅該賬號下所有資源的安全。為保證賬號安全,強烈建議您不要給阿里云賬號(主賬號)創(chuàng)建AccessKey,建議您創(chuàng)建專用于API訪問的RAM用戶并創(chuàng)建對應的AccessKey,完成最小化授權后,通過編程的方式訪問阿里云資源。
不要將AccessKey ID和AccessKey Secret保存到工程代碼里,避免AccessKey泄露。更多關于憑據(jù)的安全使用建議,請參見憑據(jù)的安全使用方案。
創(chuàng)建AccessKey后,可以查看哪些信息?
創(chuàng)建AccessKey后,您可以再次查看AccessKey ID、狀態(tài)、最后使用時間和創(chuàng)建時間等基本信息。關于如何查看RAM用戶的AccessKey信息,請參見查看RAM用戶的AccessKey信息。
創(chuàng)建AccessKey后,能否再次查看AccessKey ID?
可以。
創(chuàng)建AccessKey后,能否再次查看AccessKey Secret?
不能。為降低AccessKey泄露的風險,阿里云賬號(主賬號)和RAM用戶的AccessKey Secret只在創(chuàng)建時顯示,后續(xù)不支持查看,請妥善保管。
如何判斷AccessKey是否還在使用?
您可以通過控制臺或API查看AccessKey的最后使用時間,以此判斷AccessKey是否還在使用。具體如下:
阿里云賬號(主賬號)登錄時,查看該阿里云賬號AccessKey的最后使用時間。RAM用戶登錄時,查看該RAM用戶AccessKey的最后使用時間。
阿里云賬號(主賬號)或具有管理員權限的RAM用戶登錄時,查看所有RAM用戶AccessKey的最后使用時間。具體操作,請參見查看RAM用戶的AccessKey信息。
GetAccessKeyLastUsed - 查詢指定訪問密鑰的最后使用時間
您可以調(diào)用該API查看阿里云賬號(主賬號)或RAM用戶AccessKey的最后使用時間。
創(chuàng)建AccessKey后,能否修改AccessKey ID?
AccessKey ID不能修改。您只能禁用、啟用或刪除AccessKey。
AccessKey刪除后能否恢復?
已經(jīng)刪除的AccessKey是無法恢復的,包括AccessKey ID和AccessKey Secret。
刪除AccessKey需慎重,在使用中的AccessKey一旦刪除,可能會造成您的應用系統(tǒng)故障。
AccessKey疑似泄露時如何處理?
具體操作,請參見AccessKey泄露處理方案。