更新存取金鑰

作為安全性最佳實務，建議您在需要時更新IAM使用者存取金鑰，例如當員工離開公司時。IAM如果用戶已被授予必要的權限，則可以更新自己的訪問密鑰。

如需有關授與IAM使用者更新自己存取金鑰的權限的詳細資訊，請參閱AWS：允許 IAM 使用者在安全登入資料頁面上管理自己的密碼、存取金鑰和 SSH 公開金鑰。您也可以對帳戶套用密碼原則，要求所有IAM使用者定期更新密碼，以及必須多久更新密碼。如需詳細資訊，請參閱為IAM使用者設定帳號密碼策略。

注意

使用此程序可停用，然後使用新的認證取代任何遺失的存取金鑰。

更新IAM使用者存取金鑰 (主控台)

您可以從 AWS Management Console中更新存取金鑰。

在不中斷應用程式的情況下更新IAM使用者的存取金鑰 (主控台)

1. 當第一個存取金鑰仍然有效時，建立第二個存取金鑰。

   1. 登入 AWS Management Console 並開啟IAM主控台，位於https://console.aws.amazon.com/iam/。

   2. 在導覽窗格中，選擇 Users (使用者)。

   3. 選擇目標使用者的名稱，然後選擇 Security credentials (安全憑證) 索引標籤。

   4. 在 Access keys (存取金鑰) 區段中，選擇 Create access key (建立存取金鑰)。在 Access key best practices & alternatives (存取金鑰最佳實務與替代方案) 頁面上，選取 Other (其他)，然後再選擇 Next (下一步)。

   5. (選擇性) 設定存取金鑰的描述標籤值，以將標籤鍵值配對新增至此IAM使用者。這可協助您在未來辨別與更新存取金鑰。標籤索引鍵被設定為存取金鑰 id。標籤值被設定為您指定的存取金鑰描述。完成時，選擇 Create access key (建立存取金鑰)。

   6. 在 Retrieve access keys (擷取存取金鑰) 頁面上，選擇 Show (顯示) 以顯示您的使用者的私密存取金鑰的值，或選擇 Download .csv file (下載 .csv 檔案)。這是您儲存您的私密存取金鑰的唯一機會。在將您的私密存取金鑰儲存到安全位置以後，選取 Done (完成)。

      當您為您的使用者建立存取金鑰時，在預設情況下，該金鑰對是作用中的，且您的使用者可以立即使用該金鑰對。此時，使用者有兩個作用中的存取金鑰。

2. 更新所有應用程式和工具以使用新的存取金鑰。

3. 透過查看 Last used (上次使用) 資訊中最舊的存取金鑰，判斷第一個存取金鑰是否仍在使用中。其中一個方法是等待幾天，然後在繼續之前檢查舊的存取金鑰以供使用。

4. 即使 Last used (上次使用) 資訊指示從未使用舊金鑰，我們建議您不要立即刪除第一個存取金鑰。反之，選擇 Actions (動作)，然後選擇 Deactivate (停用) 來停用第一個存取金鑰。

5. 僅使用新的存取金鑰來確認您的應用程式正在工作。任何仍然使用原始存取金鑰的應用程式和工具，此時將停止運作，因為它們無法再存取 AWS 資源。如果您找到此類應用程式或工具，則可以重新啟用第一個存取金鑰。然後，返回 步驟 3 並更新此應用程式以使用新的金鑰。

6. 等待一段時間後確保所有應用程式和工具都已更新，您可以刪除第一個存取金鑰：

   1. 登入 AWS Management Console 並開啟IAM主控台，位於https://console.aws.amazon.com/iam/。

   2. 在導覽窗格中，選擇 Users (使用者)。

   3. 選擇目標使用者的名稱，然後選擇 Security credentials (安全憑證) 索引標籤。

   4. 在 Access keys (存取金鑰) 區段中，找到您想要刪除的存取金鑰，然後選取 Actions (動作)，再選擇 Delete (刪除)。依照對話中的指示先 Deactivate (停用)，然後再確認刪除。

要確定哪些存取金鑰需要更新或刪除 (主控台)

1. 登入 AWS Management Console 並開啟IAM主控台，位於https://console.aws.amazon.com/iam/。

2. 在導覽窗格中，選擇 Users (使用者)。

3. 如有必要，請透過完成以下步驟將 Access key age (存取金鑰使用期限) 欄新增到使用者表格：

   1. 在最右側的表格上方，選擇設定圖示 ( )。

   2. 在 Manage columns (管理欄) 中，選取 Access key age (存取金鑰使用期限)。

   3. 選擇 Close (關閉) 返回使用者清單。

4. Access key age (存取金鑰使用期限) 列顯示自建立最早的作用中存取金鑰以來的天數。您可以使用此資訊來尋找可能需要更新或刪除存取金鑰的使用者。對於沒有存取金鑰的使用者，該欄會顯示 None (無)。

更新存取金鑰 (AWS CLI)

您可以從 AWS Command Line Interface中更新存取金鑰。

在不會中斷您的應用程式下更新存取金鑰 (AWS CLI)

1. 當第一個存取金鑰仍然有效時，建立第二個存取金鑰，該索引鍵在預設情況下處於作用中。執行以下命令：

   • aws iam create-access-key

     此時，使用者有兩個作用中的存取金鑰。

2. 更新所有應用程式和工具以使用新的存取金鑰。

3. 使用此命令判斷第一個存取金鑰是否仍在使用中：

   • aws iam get-access-key-last-used

   其中一個方法是等待幾天，然後在繼續之前檢查舊的存取金鑰以供使用。

4. 即使步驟 步驟 3 表示不使用舊金鑰，我們也建議您不要立即刪除第一個存取金鑰。反之，使用此命令將第一個存取金鑰的狀態變更為 Inactive：

   • aws iam update-access-key

5. 僅使用新的存取金鑰來確認您的應用程式正在工作。任何仍然使用原始存取金鑰的應用程式和工具，此時將停止運作，因為它們無法再存取 AWS 資源。如果找到此類應用程式或工具，則可以將其狀態切換回 Active 以重新啟用第一個存取金鑰。然後，返回步驟 步驟 2 並更新此應用程式以使用新的金鑰。

6. 等待一段時間後確保所有應用程式和工具都已更新，可以使用此命令刪除第一個存取金鑰：

   • aws iam delete-access-key

更新存取金鑰 (AWS API)

您可以使用更新存取金鑰 AWS API。

在不中斷應用程式的情況下更新存取金鑰 ()AWS API

1. 當第一個存取金鑰仍然有效時，建立第二個存取金鑰，該索引鍵在預設情況下處於作用中。呼叫以下操作：

   • CreateAccessKey

     此時，使用者有兩個作用中的存取金鑰。

2. 更新所有應用程式和工具以使用新的存取金鑰。

3. 透過呼叫此操作判斷第一個存取金鑰是否仍在使用中：

   • GetAccessKeyLastUsed

   其中一個方法是等待幾天，然後在繼續之前檢查舊的存取金鑰以供使用。

4. 即使步驟 步驟 3 表示不使用舊金鑰，我們也建議您不要立即刪除第一個存取金鑰。反之，呼叫此操作將第一個存取金鑰的狀態變更為 Inactive：

   • UpdateAccessKey

5. 僅使用新的存取金鑰來確認您的應用程式正在工作。任何仍然使用原始存取金鑰的應用程式和工具，此時將停止運作，因為它們無法再存取 AWS 資源。如果找到此類應用程式或工具，則可以將其狀態切換回 Active 以重新啟用第一個存取金鑰。然後，返回步驟 步驟 2 並更新此應用程式以使用新的金鑰。

6. 等待一段時間後確保所有應用程式和工具都已更新，您可以刪除呼叫此操作的第一個存取金鑰：

   • DeleteAccessKey