AWS 安全凭证
当您与 AWS 交互时,可指定 AWS 安全凭证 以验证您的身份以及您是否有权访问所请求的资源。AWS 使用安全凭证来对您的请求进行身份验证和授权。
例如,如果要从 Amazon Simple Storage Service (Amazon S3) 存储桶下载受保护的文件,则您的凭证必须允许该访问。如果您的凭证未显示您有权下载该文件,AWS 会拒绝您的请求。但是,下载公开共享的 Amazon S3 存储桶中的文件不需要您的 AWS 安全凭证。
AWS 中有不同类型的用户,每种用户都有自己的安全凭证:
-
账户所有者(根用户)— 创建 AWS 账户 并拥有完全访问权限的用户。
-
AWS IAM Identity Center 用户 — 在 AWS IAM Identity Center 中管理的用户。
-
联合用户 — 来自外部身份提供者、通过联合身份验证获得 AWS 临时访问权限的用户。有关联合身份的更多信息,请参阅 身份提供程序和联合身份验证。
-
IAM 用户 — 在 AWS Identity and Access Management(IAM)服务中创建的个人用户。
用户拥有长期或临时安全凭证。根用户和IAM 用户具有不会过期的长期安全凭证。访问密钥是不会过期的长期凭证。为保护长期凭证,您可以制定相应的流程,以 管理访问密钥、更改密码 和 启用 MFA。有关更多信息,请参阅 AWS Identity and Access Management 中的安全最佳实践和使用案例。
IAM 角色 AWS IAM Identity Center 中的用户 和联合用户具有临时安全凭证。临时安全凭证在规定的时间段后或用户结束会话时过期。临时凭证的工作方式与长期凭证的工作方式几乎相同,仅存在以下差异:
-
顾名思义,临时安全凭证是短期 凭证。可将这些凭证的有效时间配置几分钟到几小时。一旦这些凭证到期,AWS 将不再识别这些凭证或不再允许来自使用这些凭证发出的 API 请求的任何类型的访问。
-
临时安全凭证不随用户一起存储,而是动态生成并在用户提出请求时提供给用户。临时安全凭证到期时 (甚至之前),用户可以请求新的凭证,只要请求凭证的用户仍有权这样做。
因此,与长期凭证相比,临时凭证具有以下优势:
-
您不必随应用程序分配或嵌入长期 AWS 安全凭证。
-
可允许用户访问您的 AWS 资源,而不必为这些用户定义 AWS 身份。临时凭证是角色和联合身份验证的基础。
-
临时安全凭证的生命周期较短,因此无需更新或在不再需要这些凭证时显式撤销这些凭证。临时安全凭证到期后无法重复使用。您可指定凭证的有效期,但有最长限期。
安全性注意事项
在确定 AWS 账户 的安全规定时,我们建议您考虑以下信息:
-
当您创建 AWS 账户 时,我们会创建账户根用户。根用户(账户所有者)的凭证允许完全访问账户中的所有资源。您使用根用户执行的首项任务是向其他用户授予对您的 AWS 账户 的管理权限,以便最大限度地减少根用户的使用。
-
多重身份验证 (MFA) 为可以访问 AWS 账户 的用户提供了额外的安全级别。为了提高安全性,我们建议您要求对 AWS 账户根用户 凭证和所有 IAM 用户使用 MFA。有关更多信息,请参阅 IAM 中的 AWS 多重身份验证。
-
AWS 需要不同类型的安全凭证,具体取决于您访问 AWS 的方式以及您所属的 AWS 用户类型。例如,您可以使用登录凭证登入 AWS Management Console,但对 AWS 进行编程调用时则需要使用访问密钥。有关确定用户类型和登录页面的帮助,请参阅《AWS 登录 用户指南》中的什么是 AWS 登录。
-
您无法使用 IAM policy 显式拒绝根用户访问资源。您只能使用 AWS Organizations 服务控制策略(SCP)来限制根用户的权限。
-
如果您忘记或丢失了根用户密码,则必须有权访问与您的账户关联的电子邮件地址才能重置根用户密码。
-
如果丢失了根用户访问密钥,则您必须能够以根用户身份登录您的账户才能创建新的访问密钥。
-
请不要将根用户用于您的日常任务。请使用它来执行仅限根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表,请参阅 需要根用户凭证的任务。
-
安全凭证特定于账户。如果您有权访问多个 AWS 账户,则每个账户都必须有单独的凭证。
-
策略确定用户、角色或用户组成员可以在什么样的条件下对哪些 AWS 资源执行哪些操作。使用策略,您可以安全地控制对 AWS 服务 和 AWS 账户 中资源的访问。如果必须修改或撤销权限以响应安全事件,您可以删除或修改策略,而不是直接更改身份。
-
请务必将您的 Emergency Access IAM 用户的登录凭证以及您为编程访问创建的任何访问密钥保存在安全位置。如果您丢失了访问密钥,则必须登录您的账户才能创建新的访问密钥。
-
我们强烈建议您使用 IAM 角色和联合用户提供的临时凭证,而不是 IAM 用户和访问密钥提供的长期凭证。