创建根用户的访问密钥 - AWS Identity and Access Management

创建根用户的访问密钥

警告

强烈建议您不要创建根用户访问密钥对。由于 只有少数任务需要根用户,而且您通常不经常执行这些任务,因此我们建议登录到 AWS Management Console 来执行根用户任务。在创建访问密钥之前,请认真阅读 长期访问密钥的替代方法

您可以为根用户创建访问密钥,以便您可以在 AWS Command Line Interface(AWS CLI)中使用根用户凭证运行命令,或使用根用户凭证从某个 AWS SDK 使用 API 操作,但我们不建议这样做。当您创建访问密钥时,您会将访问密钥 ID 和秘密访问密钥创建为一个集。在创建访问密钥的过程中,AWS 仅允许您查看和下载一次访问密钥的秘密访问密钥部分。如果您未下载或丢失了访问密钥,则可删除访问密钥,然后创建新的访问密钥。您可以使用控制台、AWS CLI 或 AWS API 创建根用户访问密钥。

新创建的访问密钥的状态为已激活,这意味着,您可以使用访问密钥进行 CLI 和 API 调用。您最多可以为根用户分配两个访问密钥。

停用未使用的访问密钥。一旦访问密钥处于非活动状态,则无法将其用于 API 调用。非活动的密钥仍将计入您的限制。您随时可以创建或删除访问密钥。不过,当您删除访问密钥时,意味着永久删除且无法恢复。

AWS Management Console
创建 AWS 账户根用户的访问密钥
最小权限

要执行下列步骤,您必须至少具有以下 IAM 权限:

  • 您必须以 AWS 账户根用户身份登录,这将不需要其他 AWS Identity and Access Management(IAM)权限。您无法以 IAM 用户或角色身份执行这些步骤。

  1. 打开 AWS 管理控制台,使用根用户凭证登录。

    有关说明,请参阅《AWS 登录 User Guide》中的 Sign in to the AWS Management Console as the root user

  2. 在控制台的右上角选择您的账户名称或账号,然后选择安全凭证

  3. 访问密钥部分,选择创建访问密钥。如果此选项不可用,则说明您拥有的访问密钥已达到最大数量。您必须首先删除一个现有的访问密钥,然后才能创建新的密钥。有关更多信息,请参阅 IAM 对象限额

  4. 根用户访问密钥的替代方案页面上,查看相关安全建议。要继续操作,请选中该复选框,然后选择创建访问密钥

  5. 检索访问密钥页面上,将显示您的访问密钥 ID。

  6. 选择秘密访问密钥下的显示,然后从浏览器窗口复制访问密钥 ID 和私有密钥,并将其粘贴到其他位置。您还可以选择下载 .csv 文件,这时将会下载一个名为 rootkey.csv 的文件,其中包含访问密钥 ID 和私有密钥。将该文件安全保存在某个位置。

  7. 选择完成。如果您不再需要该访问密钥,我们建议您将其删除,或者至少考虑将其停用,以免任何人不当使用。

AWS CLI & SDKs
创建根用户的访问密钥
注意

要以根用户身份运行以下命令或 API 操作,您必须事先拥有一个有效的访问密钥对。如果您没有任何访问密钥,请使用 AWS Management Console 创建第一个访问密钥。然后可以将第一个访问密钥中的凭证与 AWS CLI 结合使用,从而创建第二个访问密钥或删除访问密钥。

  • AWS CLI:aws iam create-access-key

    $ aws iam create-access-key { "AccessKey": { "UserName": "MyUserName", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE", "Status": "Active", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "CreateDate": "2021-04-08T19:30:16+00:00" } }
  • AWS API:《IAM API 参考》中的 CreateAccessKey