創(chuàng)建AccessKey
本文為您介紹如何創(chuàng)建RAM用戶和阿里云賬號(hào)(主賬號(hào))的訪問(wèn)密鑰(AccessKey)。
什么是AccessKey
訪問(wèn)密鑰AccessKey(簡(jiǎn)稱AK)是阿里云提供給用戶的永久訪問(wèn)憑據(jù),一組由AccessKey ID和AccessKey Secret組成的密鑰對(duì)。
AccessKey ID:用于標(biāo)識(shí)用戶。
AccessKey Secret:是一個(gè)用于驗(yàn)證您擁有該AccessKey ID的密碼。
AccessKey ID和AccessKey Secret根據(jù)算法由訪問(wèn)控制(RAM)生成,阿里云對(duì)AccessKey ID和AccessKey Secret的存儲(chǔ)及傳輸均進(jìn)行加密。
AccessKey不用于控制臺(tái)登錄,用于通過(guò)開(kāi)發(fā)工具(API、CLI、SDK、Terraform等)訪問(wèn)阿里云時(shí),發(fā)起的請(qǐng)求會(huì)攜帶AccessKey ID和AccessKey Secret加密請(qǐng)求內(nèi)容生成的簽名,進(jìn)行身份驗(yàn)證及請(qǐng)求合法性校驗(yàn)。
AccessKey最佳實(shí)踐
AccessKey是一種長(zhǎng)期有效的程序訪問(wèn)憑據(jù),AccessKey泄露會(huì)威脅該賬號(hào)下所有資源的安全。
強(qiáng)烈建議不要給阿里云賬號(hào)(主賬號(hào))創(chuàng)建AccessKey。
阿里云賬號(hào)(主賬號(hào))默認(rèn)擁有當(dāng)前賬號(hào)下所有云資源的Administrator權(quán)限,且無(wú)法修改。阿里云賬號(hào)(主賬號(hào))的AccessKey泄露會(huì)威脅該賬號(hào)下所有資源的安全。為保證賬號(hào)安全,強(qiáng)烈建議您不要給阿里云賬號(hào)(主賬號(hào))創(chuàng)建AccessKey,建議您創(chuàng)建專用于API訪問(wèn)的RAM用戶并創(chuàng)建對(duì)應(yīng)的AccessKey,完成最小化授權(quán)后,通過(guò)編程的方式訪問(wèn)阿里云資源。
減少創(chuàng)建永久AccessKey,優(yōu)先采用STS Token臨時(shí)憑證方案,降低憑證泄露的風(fēng)險(xiǎn)。
妥善保管AccessKey ID和AccessKey Secret,不要將AccessKey信息隨意分享給其他人,或記錄在公開(kāi)的文檔中。
避免在代碼中寫入明文AccessKey信息。
AccessKey不再使用時(shí)及時(shí)禁用。
定期輪轉(zhuǎn)AccessKey,一個(gè)RAM用戶啟用一把AccessKey后另一把僅用于輪轉(zhuǎn)。
為RAM用戶僅授予必要的最小化權(quán)限。
更多信息,請(qǐng)參見(jiàn)使用訪問(wèn)憑據(jù)訪問(wèn)阿里云OpenAPI最佳實(shí)踐。
創(chuàng)建RAM用戶的AccessKey
前提條件
您可以使用以下賬號(hào)創(chuàng)建RAM用戶的AccessKey:
阿里云賬號(hào)(主賬號(hào))。
RAM管理員(擁有AliyunRAMFullAccess權(quán)限的RAM用戶)。
允許自主管理AccessKey的RAM用戶。關(guān)于如何設(shè)置自主管理AccessKey的詳情,請(qǐng)參見(jiàn)管理RAM用戶安全設(shè)置。
使用限制
為降低AccessKey泄露的風(fēng)險(xiǎn),RAM用戶的AccessKey Secret只在創(chuàng)建時(shí)顯示,后續(xù)不支持查看,請(qǐng)妥善保管。
每個(gè)RAM用戶最多允許創(chuàng)建2個(gè)AccessKey。
操作步驟
登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在用戶頁(yè)面,單擊目標(biāo)RAM用戶名稱。
在認(rèn)證管理頁(yè)簽下的AccessKey區(qū)域,單擊創(chuàng)建AccessKey。
根據(jù)使用場(chǎng)景的建議選擇更優(yōu)的憑據(jù)方案,如果必須創(chuàng)建AccessKey,則勾選我確認(rèn)必須創(chuàng)建AccessKey,然后單擊繼續(xù)創(chuàng)建。
根據(jù)界面提示完成安全驗(yàn)證。
在創(chuàng)建AccessKey對(duì)話框,保存AccessKey ID和AccessKey Secret,然后單擊確定。
創(chuàng)建阿里云賬號(hào)(主賬號(hào))的AccessKey
使用限制
為降低AccessKey泄露的風(fēng)險(xiǎn),阿里云賬號(hào)(主賬號(hào))的AccessKey Secret只在創(chuàng)建時(shí)顯示,后續(xù)不支持查看,請(qǐng)妥善保管。
每個(gè)阿里云賬號(hào)(主賬號(hào))最多允許創(chuàng)建5個(gè)AccessKey。
操作步驟
使用阿里云賬號(hào)(主賬號(hào))登錄阿里云控制臺(tái)。
將鼠標(biāo)懸浮在右上方的賬號(hào)圖標(biāo)上,單擊AccessKey。
在不建議使用云賬號(hào)AccessKey對(duì)話框,閱讀創(chuàng)建主賬號(hào)AccessKey的風(fēng)險(xiǎn),如果必須要?jiǎng)?chuàng)建主賬號(hào)AccessKey,則勾選我確認(rèn)知曉云賬號(hào)AccessKey安全風(fēng)險(xiǎn),然后單擊繼續(xù)使用云賬號(hào)AccessKey。
在AccessKey頁(yè)面,單擊創(chuàng)建AccessKey。
根據(jù)界面提示完成安全驗(yàn)證。
在創(chuàng)建云賬號(hào)AccessKey對(duì)話框,再次閱讀創(chuàng)建主賬號(hào)AccessKey的風(fēng)險(xiǎn)及主賬號(hào)AccessKey使用限制,如果確定要?jiǎng)?chuàng)建主賬號(hào)AccessKey,則勾選我確認(rèn)知曉云賬號(hào)AccessKey安全風(fēng)險(xiǎn),然后單擊繼續(xù)使用云賬號(hào)AccessKey。
在創(chuàng)建AccessKey對(duì)話框,保存AccessKey ID和AccessKey Secret,然后勾選我已保存好AccessKey Secret,最后單擊確定。
