本文為您介紹存取金鑰(AccessKey)相關的一些常見問題。包括什麼是AccessKey、如何查看AccessKey、AccessKey是否還在使用、AccessKey泄露後如何處理等。
什麼是AccessKey
存取金鑰AccessKey(簡稱AK)是阿里雲提供給使用者的永久訪問憑據,一組由AccessKey ID和AccessKey Secret組成的金鑰組。
AccessKey ID:用於標識使用者。
AccessKey Secret:是一個用於驗證您擁有該AccessKey ID的密碼。
AccessKey ID和AccessKey Secret根據演算法由存取控制(RAM)產生,阿里雲對AccessKey ID和AccessKey Secret的儲存及傳輸均進行加密。
AccessKey不用於控制台登入,用於通過開發工具(API、CLI、SDK、Terraform等)訪問阿里雲時,發起的請求會攜帶AccessKey ID和AccessKey Secret加密請求內容產生的簽名,進行身分識別驗證及請求合法性校正。
阿里雲帳號(主帳號)預設擁有當前帳號下所有雲資源的Administrator許可權,且無法修改。阿里雲帳號(主帳號)的AccessKey泄露會威脅該帳號下所有資源的安全。為保證帳號安全,強烈建議您不要給阿里雲帳號(主帳號)建立AccessKey,建議您建立專用於API訪問的RAM使用者並建立對應的AccessKey,完成最小化授權後,通過編程的方式訪問阿里雲資源。
不要將AccessKey ID和AccessKey Secret儲存到工程代碼裡,避免AccessKey泄露。更多關於憑據的安全使用建議,請參見憑據的安全使用方式情節。
建立AccessKey後,可以查看哪些資訊?
建立AccessKey後,您可以再次查看AccessKey ID、狀態、最後使用時間和建立時間等基本資料。關於如何查看RAM使用者的AccessKey資訊,請參見查看RAM使用者的AccessKey資訊。
建立AccessKey後,能否再次查看AccessKey ID?
可以。
建立AccessKey後,能否再次查看AccessKey Secret?
不能。為降低AccessKey泄露的風險,阿里雲帳號(主帳號)和RAM使用者的AccessKey Secret只在建立時顯示,後續不支援查看,請妥善保管。
如何判斷AccessKey是否還在使用?
您可以通過控制台或API查看AccessKey的最後使用時間,以此判斷AccessKey是否還在使用。具體如下:
阿里雲帳號(主帳號)登入時,查看該阿里雲帳號AccessKey的最後使用時間。RAM使用者登入時,查看該RAM使用者AccessKey的最後使用時間。
阿里雲帳號(主帳號)或具有管理員權限的RAM使用者登入時,查看所有RAM使用者AccessKey的最後使用時間。具體操作,請參見查看RAM使用者的AccessKey資訊。
GetAccessKeyLastUsed - 查詢指定存取金鑰的最後使用時間
您可以調用該API查看阿里雲帳號(主帳號)或RAM使用者AccessKey的最後使用時間。
建立AccessKey後,能否修改AccessKey ID?
AccessKey ID不能修改。您只能禁用、啟用或刪除AccessKey。
AccessKey刪除後能否恢複?
已經刪除的AccessKey是無法恢複的,包括AccessKey ID和AccessKey Secret。
刪除AccessKey需謹慎,在使用中的AccessKey一旦刪除,可能會造成您的應用系統故障。
AccessKey疑似泄露時如何處理?
具體操作,請參見AccessKey泄露處理方案。