Alternatif untuk kunci akses jangka panjang

Akses terprogram dengan kredensi AWS keamanan

Sebaiknya gunakan kunci akses jangka pendek bila memungkinkan untuk melakukan panggilan terprogram ke AWS atau menggunakan AWS Command Line Interface atau AWS Tools for PowerShell. Namun, Anda juga dapat menggunakan kunci AWS akses jangka panjang untuk tujuan ini.

Ketika Anda membuat kunci akses jangka panjang, Anda membuat ID kunci akses (misalnya,AKIAIOSFODNN7EXAMPLE) dan kunci akses rahasia (misalnya,wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) sebagai satu set. Secret access key hanya tersedia untuk diunduh saat Anda membuatnya. Jika tidak mengunduh secret access key atau kehilangannya, Anda harus membuat yang baru.

Dalam banyak skenario, Anda tidak memerlukan kunci akses jangka panjang yang tidak pernah kedaluwarsa (seperti yang Anda miliki saat membuat kunci akses untuk IAM pengguna). Sebagai gantinya, Anda dapat membuat IAM peran dan menghasilkan kredensi keamanan sementara. Kredensi keamanan sementara termasuk ID kunci akses dan kunci akses rahasia, tetapi mereka juga menyertakan token keamanan yang menunjukkan kapan kredensialnya kedaluwarsa. Setelah kedaluwarsa, mereka tidak lagi valid. Untuk informasi selengkapnya, silakan lihat Alternatif untuk kunci akses jangka panjang

Kunci akses yang IDs dimulai dengan AKIA adalah kunci akses jangka panjang untuk IAM pengguna atau pengguna Akun AWS root. Kunci akses yang IDs dimulai dengan ASIA adalah kunci akses kredensional sementara yang Anda buat menggunakan AWS STS operasi.

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses programatis?	Untuk	Oleh
Identitas tenaga kerja (Pengguna dikelola di Pusat IAM Identitas)	Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna. Untuk AWS SDKs, alat, dan AWS APIs, lihat otentikasi Pusat IAM Identitas di Panduan Referensi Alat AWS SDKs dan Alat.
IAM	Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk dalam Menggunakan kredensi sementara dengan AWS sumber daya di IAMPanduan Pengguna.
IAM	(Tidak direkomendasikan) Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk mengetahui AWS CLI, lihat Mengautentikasi menggunakan kredensi IAM pengguna di Panduan Pengguna.AWS Command Line Interface Untuk AWS SDKs dan alat, lihat Mengautentikasi menggunakan kredensi jangka panjang di Panduan Referensi Alat AWS SDKs dan Alat. Untuk AWS APIs, lihat Mengelola kunci akses untuk IAM pengguna di Panduan IAM Pengguna.

Pengguna mana yang membutuhkan akses programatis?

Untuk

Oleh

Identitas tenaga kerja

(Pengguna dikelola di Pusat IAM Identitas)

Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

Untuk AWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna.
Untuk AWS SDKs, alat, dan AWS APIs, lihat otentikasi Pusat IAM Identitas di Panduan Referensi Alat AWS SDKs dan Alat.

IAM

Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs

Mengikuti petunjuk dalam Menggunakan kredensi sementara dengan AWS sumber daya di IAMPanduan Pengguna.

IAM

(Tidak direkomendasikan)

Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

Untuk mengetahui AWS CLI, lihat Mengautentikasi menggunakan kredensi IAM pengguna di Panduan Pengguna.AWS Command Line Interface
Untuk AWS SDKs dan alat, lihat Mengautentikasi menggunakan kredensi jangka panjang di Panduan Referensi Alat AWS SDKs dan Alat.
Untuk AWS APIs, lihat Mengelola kunci akses untuk IAM pengguna di Panduan IAM Pengguna.

Alternatif untuk kunci akses jangka panjang

Untuk banyak kasus penggunaan umum, ada alternatif untuk kunci akses jangka panjang. Untuk meningkatkan keamanan akun Anda, pertimbangkan hal berikut.

Jangan menanamkan kunci akses jangka panjang dan kunci akses rahasia dalam kode aplikasi Anda atau dalam repositori kode — Sebagai gantinya, gunakan AWS Secrets Manager, atau solusi manajemen rahasia lainnya, sehingga Anda tidak perlu melakukan hardcode kunci dalam teks biasa. Aplikasi atau klien kemudian dapat mengambil rahasia bila diperlukan. Untuk informasi lebih lanjut, lihat Apa itu AWS Secrets Manager? dalam AWS Secrets Manager User Guide.

Gunakan IAM peran untuk menghasilkan kredensi keamanan sementara bila memungkinkan — Selalu gunakan mekanisme untuk mengeluarkan kredensi keamanan sementara bila memungkinkan, bukan kunci akses jangka panjang. Kredensi keamanan sementara lebih aman karena tidak disimpan bersama pengguna tetapi dihasilkan secara dinamis dan diberikan kepada pengguna saat diminta. Kredensi keamanan sementara memiliki masa pakai yang terbatas sehingga Anda tidak perlu mengelola atau memperbaruinya. Mekanisme yang menyediakan kunci akses sementara termasuk IAM peran atau otentikasi pengguna Pusat IAM Identitas. Untuk mesin yang berjalan di luar AWS Anda dapat menggunakan AWS Identity and Access Management Peran Di Mana Saja.
Gunakan alternatif untuk kunci akses jangka panjang untuk AWS Command Line Interface (AWS CLI) atau aws-shell — Alternatif termasuk yang berikut ini.
- AWS CloudShelladalah shell berbasis browser dan pra-otentikasi yang dapat Anda luncurkan langsung dari file. AWS Management Console Anda dapat menjalankan AWS CLI perintah melawan AWS layanan melalui shell pilihan Anda (Bash, Powershell, atau Z shell). Ketika Anda melakukan ini, Anda tidak perlu mengunduh atau menginstal alat baris perintah. Untuk informasi selengkapnya, lihat Apa itu AWS CloudShell? dalam AWS CloudShell Panduan Pengguna.
- AWS CLI Integrasi versi 2 dengan AWS IAM Identity Center (Pusat IAM Identitas). Anda dapat mengautentikasi pengguna dan memberikan kredensi jangka pendek untuk menjalankan perintah. AWS CLI Untuk mempelajari lebih lanjut, lihat Mengintegrasikan AWS CLI dengan Pusat IAM Identitas di Panduan AWS IAM Identity Center Pengguna dan Mengonfigurasi Pusat IAM Identitas AWS CLI untuk menggunakan di Panduan AWS Command Line Interface Pengguna.
Jangan membuat kunci akses jangka panjang untuk pengguna manusia yang memerlukan akses ke aplikasi atau AWS layanan — Pusat IAM Identitas dapat menghasilkan kredenal akses sementara untuk diakses oleh pengguna iDP eksternal Anda. AWS layanan Ini menghilangkan kebutuhan untuk membuat dan mengelola kredensi jangka panjang di. IAM Di Pusat IAM Identitas, buat set izin Pusat IAM Identitas yang memberikan akses pengguna iDP eksternal. Kemudian tetapkan grup dari Pusat IAM Identitas ke set izin di yang dipilih Akun AWS. Untuk informasi selengkapnya, lihat Apa itu AWS IAM Identity Center, Connect ke penyedia identitas eksternal Anda, dan set Izin di Panduan AWS IAM Identity Center Pengguna.
Jangan menyimpan kunci akses jangka panjang dalam layanan AWS komputasi — Sebagai gantinya, tetapkan IAM peran untuk menghitung sumber daya. Ini secara otomatis memasok kredenal sementara untuk memberikan akses. Misalnya, saat membuat profil instans yang dilampirkan ke EC2 instans Amazon, Anda dapat menetapkan AWS peran ke instance tersebut dan membuatnya tersedia untuk semua aplikasinya. Profil instans berisi peran dan memungkinkan program yang berjalan di EC2 instans Amazon untuk mendapatkan kredensi sementara. Untuk mempelajari lebih lanjut, lihat Menggunakan IAM peran untuk memberikan izin ke aplikasi yang berjalan di EC2 instans Amazon.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS kredensi keamanan

AWS pedoman audit keamanan