本文為您介紹如何創建RAM用戶和阿里云賬號(主賬號)的訪問密鑰(AccessKey)。
什么是AccessKey
訪問密鑰AccessKey(簡稱AK)是阿里云提供給用戶的永久訪問憑據,一組由AccessKey ID和AccessKey Secret組成的密鑰對。
AccessKey ID:用于標識用戶。
AccessKey Secret:是一個用于驗證您擁有該AccessKey ID的密碼。
AccessKey ID和AccessKey Secret根據算法由訪問控制(RAM)生成,阿里云對AccessKey ID和AccessKey Secret的存儲及傳輸均進行加密。
AccessKey不用于控制臺登錄,用于通過開發工具(API、CLI、SDK、Terraform等)訪問阿里云時,發起的請求會攜帶AccessKey ID和AccessKey Secret加密請求內容生成的簽名,進行身份驗證及請求合法性校驗。
AccessKey最佳實踐
AccessKey是一種長期有效的程序訪問憑據,AccessKey泄露會威脅該賬號下所有資源的安全。
強烈建議不要給阿里云賬號(主賬號)創建AccessKey。
阿里云賬號(主賬號)默認擁有當前賬號下所有云資源的Administrator權限,且無法修改。阿里云賬號(主賬號)的AccessKey泄露會威脅該賬號下所有資源的安全。為保證賬號安全,強烈建議您不要給阿里云賬號(主賬號)創建AccessKey,建議您創建專用于API訪問的RAM用戶并創建對應的AccessKey,完成最小化授權后,通過編程的方式訪問阿里云資源。
減少創建永久AccessKey,優先采用STS Token臨時憑證方案,降低憑證泄露的風險。
妥善保管AccessKey ID和AccessKey Secret,不要將AccessKey信息隨意分享給其他人,或記錄在公開的文檔中。
避免在代碼中寫入明文AccessKey信息。
AccessKey不再使用時及時禁用。
定期輪轉AccessKey,一個RAM用戶啟用一把AccessKey后另一把僅用于輪轉。
為RAM用戶僅授予必要的最小化權限。
更多信息,請參見使用訪問憑據訪問阿里云OpenAPI最佳實踐。
創建RAM用戶的AccessKey
前提條件
您可以使用以下賬號創建RAM用戶的AccessKey:
阿里云賬號(主賬號)。
RAM管理員(擁有AliyunRAMFullAccess權限的RAM用戶)。
允許自主管理AccessKey的RAM用戶。關于如何設置自主管理AccessKey的詳情,請參見管理RAM用戶安全設置。
使用限制
為降低AccessKey泄露的風險,RAM用戶的AccessKey Secret只在創建時顯示,后續不支持查看,請妥善保管。
每個RAM用戶最多允許創建2個AccessKey。
操作步驟
登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶名稱。
在認證管理頁簽下的AccessKey區域,單擊創建AccessKey。
根據使用場景的建議選擇更優的憑據方案,如果必須創建AccessKey,則勾選我確認必須創建AccessKey,然后單擊繼續創建。
根據界面提示完成安全驗證。
在創建AccessKey對話框,保存AccessKey ID和AccessKey Secret,然后單擊確定。
創建阿里云賬號(主賬號)的AccessKey
使用限制
為降低AccessKey泄露的風險,阿里云賬號(主賬號)的AccessKey Secret只在創建時顯示,后續不支持查看,請妥善保管。
每個阿里云賬號(主賬號)最多允許創建5個AccessKey。
操作步驟
使用阿里云賬號(主賬號)登錄阿里云控制臺。
將鼠標懸浮在右上方的賬號圖標上,單擊AccessKey。
在不建議使用云賬號AccessKey對話框,閱讀創建主賬號AccessKey的風險,如果必須要創建主賬號AccessKey,則勾選我確認知曉云賬號AccessKey安全風險,然后單擊繼續使用云賬號AccessKey。
在AccessKey頁面,單擊創建AccessKey。
根據界面提示完成安全驗證。
在創建云賬號AccessKey對話框,再次閱讀創建主賬號AccessKey的風險及主賬號AccessKey使用限制,如果確定要創建主賬號AccessKey,則勾選我確認知曉云賬號AccessKey安全風險,然后單擊繼續使用云賬號AccessKey。
在創建AccessKey對話框,保存AccessKey ID和AccessKey Secret,然后勾選我已保存好AccessKey Secret,最后單擊確定。
