本文为您介绍访问密钥(AccessKey)相关的一些常见问题。包括什么是AccessKey、如何查看AccessKey、AccessKey是否还在使用、AccessKey泄露后如何处理等。
什么是AccessKey
访问密钥AccessKey(简称AK)是阿里云提供给用户的永久访问凭据,一组由AccessKey ID和AccessKey Secret组成的密钥对。
AccessKey ID:用于标识用户。
AccessKey Secret:是一个用于验证您拥有该AccessKey ID的密码。
AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。
AccessKey不用于控制台登录,用于通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,发起的请求会携带AccessKey ID和AccessKey Secret加密请求内容生成的签名,进行身份验证及请求合法性校验。
阿里云账号(主账号)默认拥有当前账号下所有云资源的Administrator权限,且无法修改。阿里云账号(主账号)的AccessKey泄露会威胁该账号下所有资源的安全。为保证账号安全,强烈建议您不要给阿里云账号(主账号)创建AccessKey,建议您创建专用于API访问的RAM用户并创建对应的AccessKey,完成最小化授权后,通过编程的方式访问阿里云资源。
不要将AccessKey ID和AccessKey Secret保存到工程代码里,避免AccessKey泄露。更多关于凭据的安全使用建议,请参见凭据的安全使用方案。
创建AccessKey后,可以查看哪些信息?
创建AccessKey后,您可以再次查看AccessKey ID、状态、最后使用时间和创建时间等基本信息。关于如何查看RAM用户的AccessKey信息,请参见查看RAM用户的AccessKey信息。
创建AccessKey后,能否再次查看AccessKey ID?
可以。
创建AccessKey后,能否再次查看AccessKey Secret?
不能。为降低AccessKey泄露的风险,阿里云账号(主账号)和RAM用户的AccessKey Secret只在创建时显示,后续不支持查看,请妥善保管。
如何判断AccessKey是否还在使用?
您可以通过控制台或API查看AccessKey的最后使用时间,以此判断AccessKey是否还在使用。具体如下:
阿里云账号(主账号)登录时,查看该阿里云账号AccessKey的最后使用时间。RAM用户登录时,查看该RAM用户AccessKey的最后使用时间。
阿里云账号(主账号)或具有管理员权限的RAM用户登录时,查看所有RAM用户AccessKey的最后使用时间。具体操作,请参见查看RAM用户的AccessKey信息。
GetAccessKeyLastUsed - 查询指定访问密钥的最后使用时间
您可以调用该API查看阿里云账号(主账号)或RAM用户AccessKey的最后使用时间。
创建AccessKey后,能否修改AccessKey ID?
AccessKey ID不能修改。您只能禁用、启用或删除AccessKey。
AccessKey删除后能否恢复?
已经删除的AccessKey是无法恢复的,包括AccessKey ID和AccessKey Secret。
删除AccessKey需慎重,在使用中的AccessKey一旦删除,可能会造成您的应用系统故障。
AccessKey疑似泄露时如何处理?
具体操作,请参见AccessKey泄露处理方案。