创建根用户的访问密钥 - AWS Identity and Access Management

创建根用户的访问密钥

警告

强烈建议您不要创建根用户访问密钥对。由于 只有少数任务需要根用户,而且您通常不经常执行这些任务,因此我们建议登录到 AWS Management Console 来执行根用户任务。在创建访问密钥之前,请认真阅读 长期访问密钥的替代方法

您可以为根用户创建访问密钥,以便您可以在 AWS Command Line Interface(AWS CLI)中使用根用户凭证运行命令,或使用根用户凭证从某个 AWS SDK 使用 API 操作,但我们不建议这样做。当您创建访问密钥时,您会将访问密钥 ID 和秘密访问密钥创建为一个集。在创建访问密钥的过程中,AWS 仅允许您查看和下载一次访问密钥的秘密访问密钥部分。如果您未下载或丢失了访问密钥,则可删除访问密钥,然后创建新的访问密钥。您可以使用控制台、AWS CLI 或 AWS API 创建根用户访问密钥。

新创建的访问密钥的状态为已激活,这意味着,您可以使用访问密钥进行 CLI 和 API 调用。您最多可以为根用户分配两个访问密钥。

停用未使用的访问密钥。一旦访问密钥处于非活动状态,则无法将其用于 API 调用。非活动的密钥仍将计入您的限制。您随时可以创建或删除访问密钥。不过,当您删除访问密钥时,意味着永久删除且无法恢复。

AWS Management Console
创建 AWS 账户根用户的访问密钥
最小权限

要执行下列步骤,您必须至少具有以下 IAM 权限:

  • 您必须以 AWS 账户根用户身份登录,这将不需要其他 AWS Identity and Access Management(IAM)权限。您无法以 IAM 用户或角色身份执行这些步骤。

  1. 使用您的 AWS 账户电子邮件地址和密码以AWS 账户根用户身份登录,以 开始使用 AWS Management Console

  2. 在控制台的右上角选择您的账户名称或账号,然后选择安全凭证

  3. Access keys(访问密钥)部分中,选择 Create access key(创建访问密钥)。如果此选项不可用,则说明您拥有的访问密钥已达到最大数量。您必须首先删除一个现有的访问密钥,然后才能创建新的密钥。有关更多信息,请参阅 IAM 对象限额

  4. 根用户访问密钥的替代方案页面上,查看相关安全建议。要继续操作,请选中该复选框,然后选择创建访问密钥

  5. 检索访问密钥页面上,将显示您的访问密钥 ID。

  6. 选择秘密访问密钥下的显示,然后从浏览器窗口复制访问密钥 ID 和私有密钥,并将其粘贴到其他位置。您还可以选择下载 .csv 文件,这时将会下载一个名为 rootkey.csv 的文件,其中包含访问密钥 ID 和私有密钥。将该文件安全保存在某个位置。

  7. 选择完成。如果您不再需要该访问密钥,我们建议您将其删除,或者至少考虑将其停用,以免任何人不当使用。

AWS CLI & SDKs
创建根用户的访问密钥
注意

要以根用户身份运行以下命令或 API 操作,您必须事先拥有一个有效的访问密钥对。如果您没有任何访问密钥,请使用 AWS Management Console 创建第一个访问密钥。然后可以将第一个访问密钥中的凭证与 AWS CLI 结合使用,从而创建第二个访问密钥或删除访问密钥。

  • AWS CLI:aws iam create-access-key

    $ aws iam create-access-key
{
    "AccessKey": {
        "UserName": "MyUserName",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "Status": "Active",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "CreateDate": "2021-04-08T19:30:16+00:00"
    }
}

  • AWS API:《IAM API 参考》中的 CreateAccessKey