目前,ACM 同時支持阿里云 AccessKey/SecretKey 和 ACM 專用 AccessKey/SecretKey。本文解釋了為什么有兩套身份標識,以及二者的區別。

為什么有兩套身份標識系統

  • 阿里云最初不支持主子賬號。阿里云主賬號的權限特別大,泄漏風險高,因此不推薦使用主賬號的 AccessKey/SecretKey 訪問其他系統。
  • 阿里云賬號系統主要用于用戶訪問控制,能承受的 QPS 較小,不建議用于數據訪問控制鑒權。

二者的區別

身份類型 阿里云 AccessKey/SecretKey ACM 專用 AccessKey/SecretKey
權限 主賬號具備所有權限。如果不對子賬號授權,則子賬號沒有權限,授權后則具備所有權限(將來會實現子賬號細粒度授權) 可以操作一個命名空間下的數據
使用場景 與其他云產品聯動,例如整合 KMS 做數據加密 兼容老用戶使用場景

使用建議

由于阿里云目前支持子賬號體系,并且接口性能大幅提升,使用 ACM 單獨賬號體系已無優勢,因此建議您使用阿里云賬號體系。