本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
更新存取金鑰
作為安全性最佳實務,建議您在需要時更新IAM使用者存取金鑰,例如當員工離開公司時。IAM如果用戶已被授予必要的權限,則可以更新自己的訪問密鑰。
如需有關授與IAM使用者更新自己存取金鑰的權限的詳細資訊,請參閱AWS:允許 IAM 使用者在安全登入資料頁面上管理自己的密碼、存取金鑰和 SSH 公開金鑰。您也可以對帳戶套用密碼原則,要求所有IAM使用者定期更新密碼,以及必須多久更新密碼。如需詳細資訊,請參閱為IAM使用者設定帳號密碼策略。
注意
使用此程序可停用,然後使用新的認證取代任何遺失的存取金鑰。
更新IAM使用者存取金鑰 (主控台)
您可以從 AWS Management Console中更新存取金鑰。
在不中斷應用程式的情況下更新IAM使用者的存取金鑰 (主控台)
-
當第一個存取金鑰仍然有效時,建立第二個存取金鑰。
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇 Users (使用者)。
-
選擇目標使用者的名稱,然後選擇 Security credentials (安全憑證) 索引標籤。
-
在 Access keys (存取金鑰) 區段中,選擇 Create access key (建立存取金鑰)。在 Access key best practices & alternatives (存取金鑰最佳實務與替代方案) 頁面上,選取 Other (其他),然後再選擇 Next (下一步)。
-
(選擇性) 設定存取金鑰的描述標籤值,以將標籤鍵值配對新增至此IAM使用者。這可協助您在未來辨別與更新存取金鑰。標籤索引鍵被設定為存取金鑰 id。標籤值被設定為您指定的存取金鑰描述。完成時,選擇 Create access key (建立存取金鑰)。
-
在 Retrieve access keys (擷取存取金鑰) 頁面上,選擇 Show (顯示) 以顯示您的使用者的私密存取金鑰的值,或選擇 Download .csv file (下載 .csv 檔案)。這是您儲存您的私密存取金鑰的唯一機會。在將您的私密存取金鑰儲存到安全位置以後,選取 Done (完成)。
當您為您的使用者建立存取金鑰時,在預設情況下,該金鑰對是作用中的,且您的使用者可以立即使用該金鑰對。此時,使用者有兩個作用中的存取金鑰。
-
更新所有應用程式和工具以使用新的存取金鑰。
-
透過查看 Last used (上次使用) 資訊中最舊的存取金鑰,判斷第一個存取金鑰是否仍在使用中。其中一個方法是等待幾天,然後在繼續之前檢查舊的存取金鑰以供使用。
-
即使 Last used (上次使用) 資訊指示從未使用舊金鑰,我們建議您不要立即刪除第一個存取金鑰。反之,選擇 Actions (動作),然後選擇 Deactivate (停用) 來停用第一個存取金鑰。
-
僅使用新的存取金鑰來確認您的應用程式正在工作。任何仍然使用原始存取金鑰的應用程式和工具,此時將停止運作,因為它們無法再存取 AWS 資源。如果您找到此類應用程式或工具,則可以重新啟用第一個存取金鑰。然後,返回 步驟 3 並更新此應用程式以使用新的金鑰。
-
等待一段時間後確保所有應用程式和工具都已更新,您可以刪除第一個存取金鑰:
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇 Users (使用者)。
-
選擇目標使用者的名稱,然後選擇 Security credentials (安全憑證) 索引標籤。
-
在 Access keys (存取金鑰) 區段中,找到您想要刪除的存取金鑰,然後選取 Actions (動作),再選擇 Delete (刪除)。依照對話中的指示先 Deactivate (停用),然後再確認刪除。
要確定哪些存取金鑰需要更新或刪除 (主控台)
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇 Users (使用者)。
-
如有必要,請透過完成以下步驟將 Access key age (存取金鑰使用期限) 欄新增到使用者表格:
-
在最右側的表格上方,選擇設定圖示 ( )。
-
在 Manage columns (管理欄) 中,選取 Access key age (存取金鑰使用期限)。
-
選擇 Close (關閉) 返回使用者清單。
-
-
Access key age (存取金鑰使用期限) 列顯示自建立最早的作用中存取金鑰以來的天數。您可以使用此資訊來尋找可能需要更新或刪除存取金鑰的使用者。對於沒有存取金鑰的使用者,該欄會顯示 None (無)。
更新存取金鑰 (AWS CLI)
您可以從 AWS Command Line Interface中更新存取金鑰。
在不會中斷您的應用程式下更新存取金鑰 (AWS CLI)
-
當第一個存取金鑰仍然有效時,建立第二個存取金鑰,該索引鍵在預設情況下處於作用中。執行以下命令:
-
此時,使用者有兩個作用中的存取金鑰。
-
-
更新所有應用程式和工具以使用新的存取金鑰。
-
使用此命令判斷第一個存取金鑰是否仍在使用中:
其中一個方法是等待幾天,然後在繼續之前檢查舊的存取金鑰以供使用。
-
即使步驟 步驟 3 表示不使用舊金鑰,我們也建議您不要立即刪除第一個存取金鑰。反之,使用此命令將第一個存取金鑰的狀態變更為
Inactive
: -
僅使用新的存取金鑰來確認您的應用程式正在工作。任何仍然使用原始存取金鑰的應用程式和工具,此時將停止運作,因為它們無法再存取 AWS 資源。如果找到此類應用程式或工具,則可以將其狀態切換回
Active
以重新啟用第一個存取金鑰。然後,返回步驟 步驟 2 並更新此應用程式以使用新的金鑰。 -
等待一段時間後確保所有應用程式和工具都已更新,可以使用此命令刪除第一個存取金鑰:
更新存取金鑰 (AWS API)
您可以使用更新存取金鑰 AWS API。
在不中斷應用程式的情況下更新存取金鑰 ()AWS API
-
當第一個存取金鑰仍然有效時,建立第二個存取金鑰,該索引鍵在預設情況下處於作用中。呼叫以下操作:
-
此時,使用者有兩個作用中的存取金鑰。
-
-
更新所有應用程式和工具以使用新的存取金鑰。
-
透過呼叫此操作判斷第一個存取金鑰是否仍在使用中:
其中一個方法是等待幾天,然後在繼續之前檢查舊的存取金鑰以供使用。
-
即使步驟 步驟 3 表示不使用舊金鑰,我們也建議您不要立即刪除第一個存取金鑰。反之,呼叫此操作將第一個存取金鑰的狀態變更為
Inactive
: -
僅使用新的存取金鑰來確認您的應用程式正在工作。任何仍然使用原始存取金鑰的應用程式和工具,此時將停止運作,因為它們無法再存取 AWS 資源。如果找到此類應用程式或工具,則可以將其狀態切換回
Active
以重新啟用第一個存取金鑰。然後,返回步驟 步驟 2 並更新此應用程式以使用新的金鑰。 -
等待一段時間後確保所有應用程式和工具都已更新,您可以刪除呼叫此操作的第一個存取金鑰: