本文为您介绍如何创建RAM用户和阿里云账号(主账号)的访问密钥(AccessKey)。
什么是AccessKey
访问密钥AccessKey(简称AK)是阿里云提供给用户的永久访问凭据,一组由AccessKey ID和AccessKey Secret组成的密钥对。
AccessKey ID:用于标识用户。
AccessKey Secret:是一个用于验证您拥有该AccessKey ID的密码。
AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。
AccessKey不用于控制台登录,用于通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,发起的请求会携带AccessKey ID和AccessKey Secret加密请求内容生成的签名,进行身份验证及请求合法性校验。
AccessKey最佳实践
AccessKey是一种长期有效的程序访问凭据,AccessKey泄露会威胁该账号下所有资源的安全。
强烈建议不要给阿里云账号(主账号)创建AccessKey。
阿里云账号(主账号)默认拥有当前账号下所有云资源的Administrator权限,且无法修改。阿里云账号(主账号)的AccessKey泄露会威胁该账号下所有资源的安全。为保证账号安全,强烈建议您不要给阿里云账号(主账号)创建AccessKey,建议您创建专用于API访问的RAM用户并创建对应的AccessKey,完成最小化授权后,通过编程的方式访问阿里云资源。
减少创建永久AccessKey,优先采用STS Token临时凭证方案,降低凭证泄露的风险。
妥善保管AccessKey ID和AccessKey Secret,不要将AccessKey信息随意分享给其他人,或记录在公开的文档中。
避免在代码中写入明文AccessKey信息。
AccessKey不再使用时及时禁用。
定期轮转AccessKey,一个RAM用户启用一把AccessKey后另一把仅用于轮转。
为RAM用户仅授予必要的最小化权限。
更多信息,请参见使用访问凭据访问阿里云OpenAPI最佳实践。
创建RAM用户的AccessKey
前提条件
您可以使用以下账号创建RAM用户的AccessKey:
阿里云账号(主账号)。
RAM管理员(拥有AliyunRAMFullAccess权限的RAM用户)。
允许自主管理AccessKey的RAM用户。关于如何设置自主管理AccessKey的详情,请参见管理RAM用户安全设置。
使用限制
为降低AccessKey泄露的风险,RAM用户的AccessKey Secret只在创建时显示,后续不支持查看,请妥善保管。
每个RAM用户最多允许创建2个AccessKey。
操作步骤
登录RAM控制台。
在左侧导航栏,选择 。
在用户页面,单击目标RAM用户名称。
在认证管理页签下的AccessKey区域,单击创建AccessKey。
根据使用场景的建议选择更优的凭据方案,如果必须创建AccessKey,则勾选我确认必须创建AccessKey,然后单击继续创建。
在创建AccessKey对话框,保存AccessKey ID和AccessKey Secret,然后单击确定。
创建阿里云账号(主账号)的AccessKey
使用限制
为降低AccessKey泄露的风险,阿里云账号(主账号)的AccessKey Secret只在创建时显示,后续不支持查看,请妥善保管。
每个阿里云账号(主账号)最多允许创建5个AccessKey。
操作步骤
使用阿里云账号(主账号)登录阿里云控制台。
将鼠标悬浮在右上方的账号图标上,单击AccessKey。
在不建议使用云账号AccessKey对话框,阅读创建主账号AccessKey的风险,如果必须要创建主账号AccessKey,则勾选我确认知晓云账号AccessKey安全风险,然后单击继续使用云账号AccessKey。
在AccessKey页面,单击创建AccessKey。
在创建云账号AccessKey对话框,再次阅读创建主账号AccessKey的风险及主账号AccessKey使用限制,如果确定要创建主账号AccessKey,则勾选我确认知晓云账号AccessKey安全风险,然后单击继续使用云账号AccessKey。
在创建AccessKey对话框,保存AccessKey ID和AccessKey Secret,然后勾选我已保存好AccessKey Secret,最后单击确定。