本文介紹憑據擷取及使用建議。
憑據是指使用者證明其身份的一組資訊。使用者在系統中進行登入時,需要提供正確的憑據才能驗證身份。常見的憑據類型有:
阿里雲主帳號和RAM使用者的永久憑據 AccessKey(簡稱AK)。一組由AccessKey ID和AccessKey Secret組成的金鑰組。
阿里雲RAM角色的STS臨時訪問Token,簡稱STS Token。它是可以自訂時效和存取權限的臨時身份憑據,詳情請參見臨時訪問憑證STS概念。
Bearer Token。它是一種身分識別驗證和授權的令牌類型。
AccessKey
主帳號
每個阿里雲帳號能夠同時擁有不超過5個AK對(包含禁用狀態)。您可以登入RAM存取控制台,申請新增或刪除AK對。每個AK對都有啟用和禁用兩種狀態,只有啟用的AK對才能在身分識別驗證時使用。
警告
由於主帳號 AK 有資源完全的許可權,一旦泄露風險巨大。
RAM使用者
每個 RAM 使用者最多允許建立2個 AK。您可以登入RAM控制台,進入到具體的RAM使用者的詳情頁面,點擊建立AccessKey。
說明
AccessKey 線上時間越長,泄露風險越高,建議您定期輪換。
STS Token
RAM 角色不具備永久身份憑證,通過 STS 擷取可以自訂時效和存取權限的臨時身份憑證(STS Token),然後使用 STS Token 訪問阿里雲資源。
說明
臨時身份憑證只有一定的時效,若到期失效,需要再次調用 STS 擷取最新的 STS Token。
Bearer Token
目前只有Cloud Call CenterCCC這款產品支援Bearer Token的憑據初始化方式。您可在鑒權方式配置選擇Bearer Token方式。
使用建議
憑據如果發生泄漏,可能會給雲上資源及業務帶來巨大的安全隱患,日常營運管理要尤其注意憑據的安全使用。更多詳情請參見憑據的安全使用方式情節。