全部產品
Search
文件中心

Resource Access Management:建立AccessKey

更新時間:Dec 12, 2024

本文為您介紹如何建立RAM使用者和阿里雲帳號(主帳號)的存取金鑰(AccessKey)。

什麼是AccessKey

存取金鑰AccessKey(簡稱AK)是阿里雲提供給使用者的永久訪問憑據,一組由AccessKey ID和AccessKey Secret組成的金鑰組。

  • AccessKey ID:用於標識使用者。

  • AccessKey Secret:是一個用於驗證您擁有該AccessKey ID的密碼。

AccessKey ID和AccessKey Secret根據演算法由存取控制(RAM)產生,阿里雲對AccessKey ID和AccessKey Secret的儲存及傳輸均進行加密。

AccessKey不用於控制台登入,用於通過開發工具(API、CLI、SDK、Terraform等)訪問阿里雲時,發起的請求會攜帶AccessKey ID和AccessKey Secret加密請求內容產生的簽名,進行身分識別驗證及請求合法性校正。

AccessKey最佳實務

AccessKey是一種長期有效程式訪問憑據,AccessKey泄露會威脅該帳號下所有資源的安全。

  • 強烈建議不要給阿里雲帳號(主帳號)建立AccessKey。

    阿里雲帳號(主帳號)預設擁有當前帳號下所有雲資源的Administrator許可權,且無法修改。阿里雲帳號(主帳號)的AccessKey泄露會威脅該帳號下所有資源的安全。為保證帳號安全,強烈建議您不要給阿里雲帳號(主帳號)建立AccessKey,建議您建立專用於API訪問的RAM使用者並建立對應的AccessKey,完成最小化授權後,通過編程的方式訪問阿里雲資源。

  • 減少建立永久AccessKey,優先採用STS Token臨時憑證方案,降低憑證泄露的風險。

  • 妥善保管AccessKey ID和AccessKey Secret,不要將AccessKey資訊隨意分享給其他人,或記錄在公開的文檔中。

  • 避免在代碼中寫入明文AccessKey資訊。

  • AccessKey不再使用時及時禁用。

  • 定期輪轉AccessKey,一個RAM使用者啟用一把AccessKey後另一把僅用於輪轉。

  • 為RAM使用者僅授予必要的最小化許可權。

更多資訊,請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務

建立RAM使用者的AccessKey

前提條件

您可以使用以下帳號建立RAM使用者的AccessKey:

  • 阿里雲帳號(主帳號)。

  • Resource Access Management員(擁有AliyunRAMFullAccess許可權的RAM使用者)。

  • 允許自主管理AccessKey的RAM使用者。關於如何設定自主管理AccessKey的詳情,請參見管理RAM使用者安全設定

使用限制

  • 為降低AccessKey泄露的風險,RAM使用者的AccessKey Secret只在建立時顯示,後續不支援查看,請妥善保管。

  • 每個RAM使用者最多允許建立2個AccessKey。

操作步驟

  1. 登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 使用者

  3. 使用者頁面,單擊目標RAM使用者名稱稱。

  4. 認證管理頁簽下的AccessKey地區,單擊建立AccessKey

    image

  5. 根據使用情境的建議選擇更優的憑據方案,如果必須建立AccessKey,則勾選我確認必須建立AccessKey,然後單擊繼續建立

  6. 建立AccessKey對話方塊,儲存AccessKey ID和AccessKey Secret,然後單擊確定

    image

建立阿里雲帳號(主帳號)的AccessKey

使用限制

  • 為降低AccessKey泄露的風險,阿里雲帳號(主帳號)的AccessKey Secret只在建立時顯示,後續不支援查看,請妥善保管。

  • 每個阿里雲帳號(主帳號)最多允許建立5個AccessKey。

操作步驟

  1. 使用阿里雲帳號(主帳號)登入阿里雲控制台

  2. 將滑鼠懸浮在右上方的帳號表徵圖上,單擊AccessKey

    image

  3. 不建議使用雲帳號AccessKey對話方塊,閱讀建立主帳號AccessKey的風險,如果必須要建立主帳號AccessKey,則勾選我確認知曉雲帳號AccessKey安全風險,然後單擊繼續使用雲帳號AccessKey

    image

  4. AccessKey頁面,單擊建立AccessKey

    image

  5. 建立雲帳號AccessKey對話方塊,再次閱讀建立主帳號AccessKey的風險及主帳號AccessKey使用限制,如果確定要建立主帳號AccessKey,則勾選我確認知曉雲帳號AccessKey安全風險,然後單擊繼續使用雲帳號AccessKey

    image

  6. 建立AccessKey對話方塊,儲存AccessKey ID和AccessKey Secret,然後勾選我已儲存好AccessKey Secret,最後單擊確定

    image

相關文檔