本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用旧版凭证
本部分中的主题提供有关在不使用 AWS IAM Identity Center 的情况下使用长期或短期凭证的信息。
警告
为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证。而是使用与身份提供商的联合身份验证,例如 AWS IAM Identity Center。
注意
本主题中的信息适用于需要手动获取和管理短期或长期凭证的情况。有关短期和长期凭证的更多信息,请参阅《AWS 开发工具包和工具参考指南》中的其他身份验证方式。
要了解最佳安全实践,请使用 AWS IAM Identity Center,如配置开发工具包身份验证中所述。
有关凭证的重要警告和指南
有关凭证的警告
-
请勿使用账户的根凭证来访问 AWS 资源。这些凭证可提供不受限的账户访问且难以撤销。
-
请勿在应用程序文件中按字面输入访问密钥或凭证信息。如果您这样做,则在将项目上传到公共存储库或在其他情况下,会有意外暴露凭证的风险。
-
请勿在项目区域中包括含有凭证的文件。
-
请注意,共享 AWS
credentials文件中存储的所有凭证都是以明文形式存储的。
有关安全管理凭证的更多指南
有关如何安全管理 AWS 凭证的一般性讨论,请参阅 AWS 一般参考中的 AWS 安全凭证和《IAM 用户指南》https://docs.aws.amazon.com/IAM/latest/UserGuide/中的安全最佳实践和用例。除了上述讨论内容外,请考虑以下事项:
-
创建其他用户,例如 IAM Identity Center 中的用户,并使用这些用户的凭证,而不是使用您的 AWS 根用户凭证。如有必要,可以撤销其他用户的凭证,或者这些凭证本来就是临时的。此外,您可以对每个用户应用仅允许访问某些资源和操作的策略,从而采取最低权限的立场。
-
对于 Amazon Elastic Container Service (Amazon ECS),使用适用于任务的 IAM 角色。
-
对于在 Amazon EC2 实例上运行的应用程序,使用 IAM 角色。
-
对可用于组织外部用户的应用程序使用临时凭证或环境变量。
