訪問憑證選型

憑據(jù)是指用戶證明其身份的一組信息。用戶在系統(tǒng)中進行登錄時，需要提供正確的憑據(jù)才能驗證身份。常見的憑據(jù)類型有：

• 臨時訪問憑證：

  • 安全令牌（STS Token）是阿里云提供給RAM角色的臨時訪問憑據(jù)，可以自定義時效和訪問權(quán)限。更多信息，請參見什么是STS。

  • 對于需要高安全性的場景，建議使用臨時訪問憑證。臨時訪問憑證可以限制訪問的有效期，從而減少訪問憑證泄露的風(fēng)險。此外，臨時訪問憑證支持權(quán)限控制，可以有效地避免權(quán)限過大的問題。

• 長期訪問憑證：

  • 阿里云主賬號和RAM用戶的永久憑據(jù) AccessKey（簡稱AK）是由AccessKey ID和AccessKey Secret組成的密鑰對。AK的概念和創(chuàng)建步驟，請參見創(chuàng)建AccessKey。

  • 出于安全性考慮，不建議您使用長期訪問憑證。對于需要便利性的場景，長期訪問憑證可以在較長時間內(nèi)免除多次刷新的麻煩。

    重要

    • 建議每三個月輪換一次長期訪問憑證，以提高賬號的安全性。輪換憑證的步驟，請參見輪轉(zhuǎn)RAM用戶的AccessKey。

    • 當(dāng)長期訪問憑證泄露或者不再使用時，應(yīng)該及時刪除或者禁用相關(guān)的訪問憑證，以免造成安全風(fēng)險。刪除憑證的步驟，請參見刪除RAM用戶的AccessKey。

臨時訪問憑證

當(dāng)您準(zhǔn)備臨時使用SDK訪問日志服務(wù)時，您可以通過STS服務(wù)頒發(fā)一個STS臨時訪問憑證，臨時訪問憑證無需透露您的RAM用戶密鑰。

1. 創(chuàng)建RAM用戶。該RAM用戶會扮演RAM角色，從而訪問日志服務(wù)的資源。

2. 為RAM用戶授予系統(tǒng)權(quán)限策略（AliyunSTSAssumeRoleAccess），該權(quán)限用于扮演RAM角色。授權(quán)的操作步驟，請參見為RAM角色授權(quán)。

3. 創(chuàng)建可信實體為阿里云賬號的RAM角色。

4. 為RAM角色授予對日志服務(wù)資源的訪問權(quán)限。具體操作，請參見為RAM角色授權(quán)和日志服務(wù)自定義權(quán)限策略參考。

5. 使用RAM用戶調(diào)用AssumeRole（扮演RAM角色），獲取STS臨時訪問憑證Credentials（包括SecurityToken、AccessKeySecret、AccessKeyId）。

6. 使用臨時訪問憑證Credentials（SecurityToken、AccessKeySecret、AccessKeyId）初始化SDK，從而訪問日志服務(wù)。具體操作，請參見STS Python SDK調(diào)用示例。

長期訪問憑證

如果您的應(yīng)用程序部署運行在安全、穩(wěn)定且不易受外部攻擊的環(huán)境中，并且需要長期使用SDK訪問您的日志服務(wù)，您可以使用RAM用戶的AK（AccessKey ID、AccessKey Secret）的方式訪問。如何獲取RAM用戶的AK，請參見創(chuàng)建AccessKey。

1. 創(chuàng)建RAM用戶。

2. 為RAM用戶授予對日志服務(wù)資源的訪問權(quán)限。授權(quán)的操作步驟，請參見為RAM用戶授權(quán)。常見的日志服務(wù)資源的訪問權(quán)限，請參見日志服務(wù)自定義權(quán)限策略參考。

3. 在Linux、macOS和Windows系統(tǒng)配置環(huán)境變量。