全部产品
Search
文档中心

访问控制:创建AccessKey

更新时间:Dec 11, 2024

本文为您介绍如何创建RAM用户和阿里云账号(主账号)的访问密钥(AccessKey)。

什么是AccessKey

访问密钥AccessKey(简称AK)是阿里云提供给用户的永久访问凭据,一组由AccessKey ID和AccessKey Secret组成的密钥对。

  • AccessKey ID:用于标识用户。

  • AccessKey Secret:是一个用于验证您拥有该AccessKey ID的密码。

AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。

AccessKey不用于控制台登录,用于通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,发起的请求会携带AccessKey ID和AccessKey Secret加密请求内容生成的签名,进行身份验证及请求合法性校验。

AccessKey最佳实践

AccessKey是一种长期有效的程序访问凭据,AccessKey泄露会威胁该账号下所有资源的安全。

  • 强烈建议不要给阿里云账号(主账号)创建AccessKey。

    阿里云账号(主账号)默认拥有当前账号下所有云资源的Administrator权限,且无法修改。阿里云账号(主账号)的AccessKey泄露会威胁该账号下所有资源的安全。为保证账号安全,强烈建议您不要给阿里云账号(主账号)创建AccessKey,建议您创建专用于API访问的RAM用户并创建对应的AccessKey,完成最小化授权后,通过编程的方式访问阿里云资源。

  • 减少创建永久AccessKey,优先采用STS Token临时凭证方案,降低凭证泄露的风险。

  • 妥善保管AccessKey ID和AccessKey Secret,不要将AccessKey信息随意分享给其他人,或记录在公开的文档中。

  • 避免在代码中写入明文AccessKey信息。

  • AccessKey不再使用时及时禁用。

  • 定期轮转AccessKey,一个RAM用户启用一把AccessKey后另一把仅用于轮转。

  • 为RAM用户仅授予必要的最小化权限。

更多信息,请参见使用访问凭据访问阿里云OpenAPI最佳实践

创建RAM用户的AccessKey

前提条件

您可以使用以下账号创建RAM用户的AccessKey:

  • 阿里云账号(主账号)。

  • RAM管理员(拥有AliyunRAMFullAccess权限的RAM用户)。

  • 允许自主管理AccessKey的RAM用户。关于如何设置自主管理AccessKey的详情,请参见管理RAM用户安全设置

使用限制

  • 为降低AccessKey泄露的风险,RAM用户的AccessKey Secret只在创建时显示,后续不支持查看,请妥善保管。

  • 每个RAM用户最多允许创建2个AccessKey。

操作步骤

  1. 登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户名称。

  4. 认证管理页签下的AccessKey区域,单击创建AccessKey

    image

  5. 根据使用场景的建议选择更优的凭据方案,如果必须创建AccessKey,则勾选我确认必须创建AccessKey,然后单击继续创建

  6. 创建AccessKey对话框,保存AccessKey ID和AccessKey Secret,然后单击确定

    image

创建阿里云账号(主账号)的AccessKey

使用限制

  • 为降低AccessKey泄露的风险,阿里云账号(主账号)的AccessKey Secret只在创建时显示,后续不支持查看,请妥善保管。

  • 每个阿里云账号(主账号)最多允许创建5个AccessKey。

操作步骤

  1. 使用阿里云账号(主账号)登录阿里云控制台

  2. 将鼠标悬浮在右上方的账号图标上,单击AccessKey

    image

  3. 不建议使用云账号AccessKey对话框,阅读创建主账号AccessKey的风险,如果必须要创建主账号AccessKey,则勾选我确认知晓云账号AccessKey安全风险,然后单击继续使用云账号AccessKey

    image

  4. AccessKey页面,单击创建AccessKey

    image

  5. 创建云账号AccessKey对话框,再次阅读创建主账号AccessKey的风险及主账号AccessKey使用限制,如果确定要创建主账号AccessKey,则勾选我确认知晓云账号AccessKey安全风险,然后单击继续使用云账号AccessKey

    image

  6. 创建AccessKey对话框,保存AccessKey ID和AccessKey Secret,然后勾选我已保存好AccessKey Secret,最后单击确定

    image

相关文档