更新访问密钥

作为一项安全最佳实践，建议您在需要时更新 IAM 用户访问密钥，例如员工从公司离职时。已获得必要权限的 IAM 用户可以更新自己的访问密钥。

有关如何向 IAM 用户授予自行更新访问密钥的详细信息，请参阅 AWS：允许 IAM 用户在“安全凭证”页面上管理自己的密码、访问密钥和 SSH 公有密钥。您还可以将密码策略应用于您的账户，以要求所有 IAM 用户定期更新其密码，并规定必须执行这一操作的频率。有关更多信息，请参阅 为 IAM 用户设置账户密码策略。

更新 IAM 用户访问密钥（控制台）

您可以通过 AWS Management Console更新访问密钥。

在不中断应用程序的情况下更新 IAM 用户的访问密钥（控制台）

1. 当第一个访问密钥仍处于活动状态时，创建第二个访问密钥。

   1. 登录 AWS Management Console，单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

   2. 在导航窗格中，选择用户。

   3. 选择预期用户的名称，然后选择安全凭证选项卡。

   4. 在访问密钥部分，选择创建访问密钥。在 Access key best practices & alternatives（访问密钥最佳实践和替代方法）页面上，选择 Other（其他），然后选择 Next（下一步）。

   5. （可选）设置访问密钥的描述标签值，以向 IAM 用户添加标签键/值对。这有助于您以后标识和更新访问密钥。标签密钥设置为访问密钥 ID。标签值设置为您指定的访问密钥描述。完成后，选择 Create access key（创建访问密钥）。

   6. 在 Retrieve access keys（检索访问密钥）页面上，选择 Show（显示）来显示用户的秘密访问密钥的值，或选择 Download .csv file（下载 .csv 文件）。这是您保存秘密访问密钥的唯一机会。将秘密访问密钥保存在安全位置后，请选择 Done（完成）。

      为用户创建访问密钥时，默认情况下，密钥对处于活动状态，并且您可以立即使用此密钥对。此时，用户拥有两个访问密钥。

2. 更新所有应用程序和工具以使用新的访问密钥。

3. 通过查看最早的访问密钥的 Last used（上次使用）信息来确定第一个访问密钥是否仍在使用。一种方法是等待几天，然后检查旧访问密钥是否被使用，然后再继续。

4. 即使 Last used（上次使用）信息指示旧密钥从未使用过，我们还是建议您不要立即删除第一个访问密钥。相反，选择 Actions（操作），然后选择 Deactivate（停用）以停用第一个访问密钥。

5. 仅使用新的访问密钥，以确认您的应用程序可以正常工作。此时，任何仍在使用初始访问密钥的应用程序和工具将停止工作，因为它们不再具有对 AWS 资源的访问权限。如果您发现此类应用程序或工具，可以选择重新激活第一个访问密钥。然后返回到 步骤 3 并更新此应用程序以使用新的密钥。

6. 在等待一段时间以确保所有应用程序和工具均已更新后，可以删除第一个访问密钥：

   1. 登录 AWS Management Console，单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

   2. 在导航窗格中，选择用户。

   3. 选择预期用户的名称，然后选择安全凭证选项卡。

   4. 在要删除的访问密钥的 Access keys（访问密钥）部分中，选择 Actions（操作），然后选择 Delete（删除）。按照对话框中的说明先 Deactivate（停用），然后确认删除。

确定需要更新或删除的访问密钥（控制台）

1. 登录 AWS Management Console，单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

2. 在导航窗格中，选择用户。

3. 如有必要，可通过完成以下步骤来将 Access key age 列添加到用户表中：

   1. 在最右侧的表上方，选择设置图标 ( )。

   2. 在 Manage columns (管理列) 中，选择 Access key age (访问密钥使用期限)。

   3. 选择 Close 返回到用户列表。

4. Access key age 列显示最早的活动访问密钥自创建至今经过的天数。您可以利用此信息来确定可能需要更新或删除访问密钥的用户。对于没有访问密钥的用户，该列显示 None。

更新访问密钥（AWS CLI）

您可以通过 AWS Command Line Interface 更新访问密钥。

在不中断应用程序的情况下更新访问密钥（AWS CLI）

1. 当第一个访问密钥仍处于活动状态时，创建第二个访问密钥，后者在默认情况下将处于活动状态。运行以下命令：

   • aws iam create-access-key

     此时，用户拥有两个访问密钥。

2. 更新所有应用程序和工具以使用新的访问密钥。

3. 通过使用以下命令，确定第一个访问密钥是否仍在使用：

   • aws iam get-access-key-last-used

   一种方法是等待几天，然后检查旧访问密钥是否被使用，然后再继续。

4. 即使步骤 步骤 3 指示旧密钥未被使用，我们也建议您不要立即删除第一个访问密钥。而是通过以下命令，将第一个访问密钥的状态更改为 Inactive：

   • aws iam update-access-key

5. 仅使用新的访问密钥，以确认您的应用程序可以正常工作。此时，任何仍在使用初始访问密钥的应用程序和工具将停止工作，因为它们不再具有对 AWS 资源的访问权限。如果您发现此类应用程序或工具，可将其状态切换回 Active 以重新激活第一个访问密钥。然后返回到步骤 步骤 2 并更新此应用程序以使用新的密钥。

6. 在等待一段时间以确保所有应用程序和工具均已更新后，您可以通过以下命令删除第一个访问密钥：

   • aws iam delete-access-key

更新访问密钥（AWS API）

您可以使用 AWS API 来更新访问密钥。

在不中断应用程序的情况下更新访问密钥（AWS API）

1. 当第一个访问密钥仍处于活动状态时，创建第二个访问密钥，后者在默认情况下将处于活动状态。调用以下操作：

   • CreateAccessKey

     此时，用户拥有两个访问密钥。

2. 更新所有应用程序和工具以使用新的访问密钥。

3. 通过调用以下操作，确定第一个访问密钥是否仍在使用：

   • GetAccessKeyLastUsed

   一种方法是等待几天，然后检查旧访问密钥是否被使用，然后再继续。

4. 即使步骤 步骤 3 指示旧密钥未被使用，我们也建议您不要立即删除第一个访问密钥。而是调用以下操作，将第一个访问密钥的状态更改为 Inactive：

   • UpdateAccessKey

5. 仅使用新的访问密钥，以确认您的应用程序可以正常工作。此时，任何仍在使用初始访问密钥的应用程序和工具将停止工作，因为它们不再具有对 AWS 资源的访问权限。如果您发现此类应用程序或工具，可将其状态切换回 Active 以重新激活第一个访问密钥。然后返回到步骤 步骤 2 并更新此应用程序以使用新的密钥。

6. 在等待一段时间以确保所有应用程序和工具均已更新后，您可以通过调用以下操作，删除第一个访问密钥：

   • DeleteAccessKey