創(chuàng)建AccessKey
本文為您介紹如何創(chuàng)建RAM用戶和阿里云賬號(主賬號)的訪問密鑰(AccessKey)。
什么是AccessKey
訪問密鑰AccessKey(簡稱AK)是阿里云提供給用戶的永久訪問憑據(jù),一組由AccessKey ID和AccessKey Secret組成的密鑰對。
AccessKey ID:用于標(biāo)識用戶。
AccessKey Secret:是一個用于驗證您擁有該AccessKey ID的密碼。
AccessKey ID和AccessKey Secret根據(jù)算法由訪問控制(RAM)生成,阿里云對AccessKey ID和AccessKey Secret的存儲及傳輸均進(jìn)行加密。
AccessKey不用于控制臺登錄,用于通過開發(fā)工具(API、CLI、SDK、Terraform等)訪問阿里云時,發(fā)起的請求會攜帶AccessKey ID和AccessKey Secret加密請求內(nèi)容生成的簽名,進(jìn)行身份驗證及請求合法性校驗。
AccessKey最佳實踐
AccessKey是一種長期有效的程序訪問憑據(jù),AccessKey泄露會威脅該賬號下所有資源的安全。
強烈建議不要給阿里云賬號(主賬號)創(chuàng)建AccessKey。
阿里云賬號(主賬號)默認(rèn)擁有當(dāng)前賬號下所有云資源的Administrator權(quán)限,且無法修改。阿里云賬號(主賬號)的AccessKey泄露會威脅該賬號下所有資源的安全。為保證賬號安全,強烈建議您不要給阿里云賬號(主賬號)創(chuàng)建AccessKey,建議您創(chuàng)建專用于API訪問的RAM用戶并創(chuàng)建對應(yīng)的AccessKey,完成最小化授權(quán)后,通過編程的方式訪問阿里云資源。
減少創(chuàng)建永久AccessKey,優(yōu)先采用STS Token臨時憑證方案,降低憑證泄露的風(fēng)險。
妥善保管AccessKey ID和AccessKey Secret,不要將AccessKey信息隨意分享給其他人,或記錄在公開的文檔中。
避免在代碼中寫入明文AccessKey信息。
AccessKey不再使用時及時禁用。
定期輪轉(zhuǎn)AccessKey,一個RAM用戶啟用一把AccessKey后另一把僅用于輪轉(zhuǎn)。
為RAM用戶僅授予必要的最小化權(quán)限。
更多信息,請參見使用訪問憑據(jù)訪問阿里云OpenAPI最佳實踐。
創(chuàng)建RAM用戶的AccessKey
前提條件
您可以使用以下賬號創(chuàng)建RAM用戶的AccessKey:
阿里云賬號(主賬號)。
RAM管理員(擁有AliyunRAMFullAccess權(quán)限的RAM用戶)。
允許自主管理AccessKey的RAM用戶。關(guān)于如何設(shè)置自主管理AccessKey的詳情,請參見管理RAM用戶安全設(shè)置。
使用限制
為降低AccessKey泄露的風(fēng)險,RAM用戶的AccessKey Secret只在創(chuàng)建時顯示,后續(xù)不支持查看,請妥善保管。
每個RAM用戶最多允許創(chuàng)建2個AccessKey。
操作步驟
登錄RAM控制臺。
在左側(cè)導(dǎo)航欄,選擇。
在用戶頁面,單擊目標(biāo)RAM用戶名稱。
在認(rèn)證管理頁簽下的AccessKey區(qū)域,單擊創(chuàng)建AccessKey。
根據(jù)使用場景的建議選擇更優(yōu)的憑據(jù)方案,如果必須創(chuàng)建AccessKey,則勾選我確認(rèn)必須創(chuàng)建AccessKey,然后單擊繼續(xù)創(chuàng)建。
根據(jù)界面提示完成安全驗證。
在創(chuàng)建AccessKey對話框,保存AccessKey ID和AccessKey Secret,然后單擊確定。
創(chuàng)建阿里云賬號(主賬號)的AccessKey
使用限制
為降低AccessKey泄露的風(fēng)險,阿里云賬號(主賬號)的AccessKey Secret只在創(chuàng)建時顯示,后續(xù)不支持查看,請妥善保管。
每個阿里云賬號(主賬號)最多允許創(chuàng)建5個AccessKey。
操作步驟
使用阿里云賬號(主賬號)登錄阿里云控制臺。
將鼠標(biāo)懸浮在右上方的賬號圖標(biāo)上,單擊AccessKey。
在不建議使用云賬號AccessKey對話框,閱讀創(chuàng)建主賬號AccessKey的風(fēng)險,如果必須要創(chuàng)建主賬號AccessKey,則勾選我確認(rèn)知曉云賬號AccessKey安全風(fēng)險,然后單擊繼續(xù)使用云賬號AccessKey。
在AccessKey頁面,單擊創(chuàng)建AccessKey。
根據(jù)界面提示完成安全驗證。
在創(chuàng)建云賬號AccessKey對話框,再次閱讀創(chuàng)建主賬號AccessKey的風(fēng)險及主賬號AccessKey使用限制,如果確定要創(chuàng)建主賬號AccessKey,則勾選我確認(rèn)知曉云賬號AccessKey安全風(fēng)險,然后單擊繼續(xù)使用云賬號AccessKey。
在創(chuàng)建AccessKey對話框,保存AccessKey ID和AccessKey Secret,然后勾選我已保存好AccessKey Secret,最后單擊確定。
