AWS Management Console 登录页面 AWS 访问门户登录页面联合身份多重身份验证 (MFA)以编程方式访问

使用您的 AWS 凭证访问 AWS

AWS 需要不同类型的安全凭证，具体取决于您访问 AWS 的方式以及您所属的 AWS 用户类型。例如，您可以使用登录凭证登入 AWS Management Console，但对 AWS 进行编程调用时则需要使用访问密钥。此外，您使用的每个身份，无论是账户根用户、AWS Identity and Access Management（IAM）用户、AWS IAM Identity Center (successor to AWS Single Sign-On) 用户还是联合身份，在 AWS 中都有唯一的凭证。

重要

强烈建议您不要使用根用户执行日常任务。保护好根用户凭证，并使用这些凭证来执行仅根用户可以执行的任务。有关要求您以根用户身份登录的任务的完整列表，请参阅需要根用户凭证的任务。

您可以使用如下方法访问 AWS。

访问方法

AWS Management Console 登录页面
AWS 访问门户登录页面
联合身份
多重身份验证 (MFA)
以编程方式访问

根用户和 IAM 用户通过 AWS Management Console 登录。AWS Management Console 提供了一个基于 Web 的用户界面，您可以使用该界面来创建和管理 AWS 资源。

以根用户身份登录

您需要用于创建 AWS 账户的电子邮件地址和根用户的密码。有关更多信息，请参阅《AWS 登录用户指南》中的以根用户身份登录。

以 IAM 用户身份登录

账户所有者会为您提供账户 ID 或别名、用户名和密码。有关更多信息，请参阅《AWS 登录用户指南》中的以 IAM 用户身份登录。

有关故障排除信息，请参阅《AWS 登录用户指南》中的登录问题排查。

AWS 访问门户登录页面

IAM Identity Center 用户通过 AWS 访问门户而非 AWS Management Console 登录。通过 AWS 访问门户登录之后，您可以访问自己的 AWS 账户和应用程序。您可以通过 AWS 访问门户访问云应用程序，例如 Office 365、Concur 和 Salesforce。有关更多信息，请参阅 AWS IAM Identity Center (successor to AWS Single Sign-On) 用户指南。

若要登录，您需要登录 URL、用户名和密码。您的管理员或帮助中心员工会向您提供此信息。或者，如果您为 AWS 账户创建 IAM Identity Center 用户，您会收到一封包含特定登录 URL 的电子邮件邀请。

使用 AWS 访问门户登录

有关分步指导，请参阅《AWS 登录用户指南》中的登录 AWS 访问门户。

联合身份

联合身份是可以使用外部身份安全访问 AWS 账户资源的用户。外部身份可能来自公司身份存储（如 LDAP 或 Windows Active Directory）或第三方（如 Login with Amazon、Facebook 或 Google）。联合身份不使用 AWS Management Console 或 AWS 访问门户登录。使用的外部身份类型决定了联合身份的登录方式。

有关联合身份的更多信息，请参阅 IAM 用户指南中的关于 Web 身份联合验证。

管理员必须创建包含 https://signin.aws.amazon.com/federation 的自定义 URL。有关更多信息，请参阅授权自定义身份凭证代理程序对 AWS Management Console 的访问权限。

注意

您的管理员创建联合身份。有关如何使用联合身份登录的更多详细信息，请联系您的管理员。

多重身份验证 (MFA)

多重身份验证 (MFA) 为可以访问 AWS 账户的用户提供了额外的安全级别。为了提高安全性，我们建议您要求对 AWS 账户根用户凭证和所有 IAM 用户使用 MFA。有关更多信息，请参阅 IAM 用户指南中的在 AWS 中使用多重身份验证（MFA）。

当您激活 MFA 并登录到您的 AWS 账户时，系统会提示您输入登录凭证，外加 MFA 设备生成的响应，例如代码、触摸、点按或者生物识别扫描。添加 MFA 之后，您 AWS 账户设置和资源会更加安全。

默认情况下，MFA 未激活。您可以前往安全凭证页面或AWS Management Console中的 IAM 控制面板，为 AWS 账户根用户激活和管理 MFA 设备。有关为 IAM 用户激活 MFA 的更多信息，请参阅 IAM 用户指南中的启用 MFA 设备。

有关使用多重身份验证 (MFA) 设备登录的更多信息，请参阅将 MFA 设备与您的 IAM 登录页面结合使用。

以编程方式访问

当您以编程方式使用 AWS 时，您需要提供您的 AWS访问密钥，以便 AWS 可以在编程调用中验证您的身份。访问密钥可以是临时（短期）凭证，也可以是长期凭证，例如适用于 IAM 用户的凭证。

访问密钥
长期访问密钥的考虑事项和替代方法

访问密钥

您提供 AWS 访问密钥，以编程方式调用 AWS 或使用 AWS Command Line Interface 或 AWS Tools for PowerShell。我们建议尽可能使用短期访问密钥。

创建长期访问密钥时，您将访问密钥 ID（例如 AKIAIOSFODNN7EXAMPLE）和秘密访问密钥（例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY）创建为一组。秘密访问密钥仅在您创建它时可供下载。如果您没有下载秘密访问密钥或丢失了它，则必须创建新的秘密访问密钥。

在许多情况下，您并不需要永不过期的长期访问密钥（例如为 IAM 用户创建的访问密钥）。相反，您可以创建 IAM 角色并生成临时安全凭证。临时安全凭证包括访问密钥 ID 和秘密访问密钥，以及一个指示凭证何时到期的安全令牌。在过期后，这些凭证将不再有效。

以 AKIA 开头的访问密钥 ID 是 IAM 用户或 AWS 账户根用户的长期访问密钥。以 ASIA 开头的访问密钥 ID 是使用 AWS STS 操作创建的临时凭证访问密钥。

如果用户需要在 AWS Management Console 之外与 AWS 交互，则需要编程式访问权限。授予编程式访问权限的方法取决于访问 AWS 的用户类型：

如果您在 IAM Identity Center 中管理身份，则 AWS API 需要一个配置文件，而 AWS Command Line Interface 需要一个配置文件或环境变量。
如果您有 IAM 用户，则 AWS API 和 AWS Command Line Interface 需要访问密钥。可能的话，创建临时凭证，该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。

要向用户授予编程式访问权限，请选择以下选项之一。

哪个用户需要编程式访问权限？	目的	方式
员工身份（在 IAM Identity Center 中管理的用户）	使用短期凭证签署对 AWS CLI 或 AWS API 的编程式请求（直接或使用 AWS SDK）。	按照您希望使用的界面的说明进行操作：对于 AWS CLI，请按照《AWS IAM Identity Center (successor to AWS Single Sign-On) 用户指南》中获取用于 CLI 访问的 IAM 角色凭证中的说明进行操作。对于 AWS API，请按照《AWS SDK 和工具参考指南》中 SSO 凭证中的说明进行操作。
IAM	使用短期凭证签署对 AWS CLI 或 AWS API 的编程式请求（直接或使用 AWS SDK）。	按照《IAM 用户指南》中将临时凭证用于 AWS 资源中的说明进行操作。
IAM	使用长期凭证签署对 AWS CLI 或 AWS API 的编程式请求（直接或使用 AWS SDK）。（不推荐使用）	按照《IAM 用户指南》中管理 IAM 用户的访问密钥中的说明进行操作。

哪个用户需要编程式访问权限？

目的

方式

员工身份

（在 IAM Identity Center 中管理的用户）

使用短期凭证签署对 AWS CLI 或 AWS API 的编程式请求（直接或使用 AWS SDK）。

按照您希望使用的界面的说明进行操作：

对于 AWS CLI，请按照《AWS IAM Identity Center (successor to AWS Single Sign-On) 用户指南》中获取用于 CLI 访问的 IAM 角色凭证中的说明进行操作。
对于 AWS API，请按照《AWS SDK 和工具参考指南》中 SSO 凭证中的说明进行操作。

IAM

使用短期凭证签署对 AWS CLI 或 AWS API 的编程式请求（直接或使用 AWS SDK）。

按照《IAM 用户指南》中将临时凭证用于 AWS 资源中的说明进行操作。

IAM

使用长期凭证签署对 AWS CLI 或 AWS API 的编程式请求（直接或使用 AWS SDK）。

（不推荐使用）

按照《IAM 用户指南》中管理 IAM 用户的访问密钥中的说明进行操作。

长期访问密钥的考虑事项和替代方法

对于许多常见使用案例，应有长期访问密钥的替代方法。为了提高您的账户安全性，请考虑以下几点。

不要在应用程序代码或代码存储库中嵌入长期访问密钥和秘密访问密钥 –改用 AWS Secrets Manager 或其他秘密管理解决方案，因此您不必以纯文本硬编码密钥。然后，应用程序或客户端可以在需要时检索秘密。有关更多信息，请参阅《AWS Secrets Manager 用户指南》中的什么是 AWS Secrets Manager？。

尽可能使用 IAM 角色来生成临时安全凭证 –尽可能使用机制颁发临时安全凭证，而不是使用长期访问密钥。临时安全凭证更加安全，因为它们不随用户一起存储，而是动态生成并在用户提出请求时提供给用户。临时安全凭证的生命周期有限，因此您无需对其进行管理或轮换。提供临时访问密钥的机制包括 IAM 角色或 IAM Identity Center 用户的身份验证。对于在 AWS 外部运行的计算机，您可以使用 AWS Identity and Access Management Roles Anywhere。
对 AWS Command Line Interface(AWS CLI) 或 aws-shell 使用长期访问密钥的替代方法 – 替代方法包括如下。
- AWS CloudShell 是一个基于浏览器的预先验证 shell，您可以直接从 AWS Management Console 中启动。您可以通过自己喜爱的 Shell（Bash、Powershell 或 Z shell）来对 AWS 服务运行 AWS CLI 命令。在执行此操作时，您无需下载或安装命令行工具。有关更多信息，请参阅《AWS CloudShell 用户指南》中的什么是 AWS CloudShell？。
- AWS CLI 版本 2 与 AWS IAM Identity Center (successor to AWS Single Sign-On) (IAM Identity Center) 集成。您可以对用户进行身份验证并提供短期凭证以运行 AWS CLI 命令。要了解更多信息，请参阅 AWS IAM Identity Center (successor to AWS Single Sign-On) 用户指南中的集成 AWS CLI 与 IAM Identity Cenenter 和 AWS Command Line Interface 用户指南中的配置 AWS CLI 以使用 IAM Identy Center。
不要为需要访问应用程序或 AWS 服务的人类用户创建长期访问密钥 – IAM Identity Center 可以生成临时访问凭证，供您的外部 IdP 用户访问 AWS 服务。这样就无需在 IAM 中创建和管理长期凭证。在 IAM Identity Center 中，创建一个 IAM Identity Center 权限集，该权限集向外部 IdP 用户授予访问权限。然后，将来自 IAM Identity Center 的组分配给选定 AWS 账户中的权限集。有关更多信息，请参阅什么是 AWS IAM Identity Center (successor to AWS Single Sign-On)、连接到外部身份提供者以及 AWS IAM Identity Center (successor to AWS Single Sign-On) 用户指南中的权限集。
不要 AWS 计算服务中存储长期访问密钥 – 相反，应为计算资源分配 IAM 角色。这会自动提供临时凭证以授予访问权限。例如，在创建附加到 Amazon EC2 实例的实例配置文件，可以将 AWS 角色分配给该实例并使其对该实例的所有应用程序可用。实例配置文件包含角色，并使 Amazon EC2 实例上运行的程序能够获得临时凭证。要了解更多信息，请参阅使用 IAM 角色为 Amazon EC2 实例上运行的应用程序授予权限。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS 用户

AWS 安全审核指南