管理 IAM 使用者的存取金鑰 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 IAM 使用者的存取金鑰

重要

最佳實務的作法是使用臨時性安全憑證 (如 IAM 角色),而不是建立長期憑證 (如存取金鑰)。在建立存取金鑰前,請檢閱長期存取金鑰的替代方案

存取金鑰是 IAM 使用者或 AWS 帳戶根使用者的長期憑證。您可以使用存取金鑰來簽署 AWS CLI 或 AWS API 的程式設計要求 (直接或使用 AWS SDK)。如需詳細資訊,請參閱 簽署 AWS API 要求

存取金鑰包含兩個部分:存取金鑰 ID (例如 AKIAIOSFODNN7EXAMPLE) 和私密存取金鑰 (例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。您必須一起使用存取金鑰 ID 和私密存取金鑰來驗證您的請求。

建立存取金鑰對時,將存取金鑰 ID 和私密存取金鑰儲存在安全位置。私密存取金鑰只會在您建立它的時候顯示一次。如果您遺失了私密存取金鑰,則必須刪除該存取金鑰並新建一個。如需詳細資訊,請參閱 重設 AWS 遺失或遺忘的密碼或存取金鑰

每位使用者最多可以擁有兩個存取金鑰。

重要

安全地管理存取金鑰。請勿將您的存取金鑰提供給未經授權的當事方,即便是協助尋找您的帳戶識別符也不妥。執行此作業,可能會讓他人能夠永久存取您的帳戶。

下列主題將詳細說明與存取金鑰相關的管理任務。

管理存取金鑰所需的許可

注意

iam:TagUser 是新增和編輯存取金鑰描述的選用許可。如需更多資訊,請參閱 標記 IAM 使用者

為 IAM 使用者建立存取金鑰,您必須擁有以下政策的許可:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:GetUser", "iam:ListAccessKeys", "iam:TagUser" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

為您自己的 IAM 使用者更新存取金鑰,您必須擁有以下政策的許可:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:GetAccessKeyLastUsed", "iam:GetUser", "iam:ListAccessKeys", "iam:UpdateAccessKey", "iam:TagUser" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

管理存取金鑰 (主控台)

您可以使用 AWS Management Console 來管理 IAM 使用者的存取金鑰。

建立、修改或刪除您自己的存取金鑰 (主控台)
  1. 使用您的 AWS 帳戶 ID 或帳戶別名、IAM 使用者名稱和密碼登入 IAM 主控台

    注意

    為方便起見, AWS 登入頁面會使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 Sign in to a different account (登入不同的帳戶),返回主要登入頁面。您可以在該處輸入帳 AWS 戶 ID 或帳戶別名,以重新導向至帳戶的 IAM 使用者登入頁面。

    若要取得您的 AWS 帳戶 ID,請聯絡您的系統管理員。

  2. 在右上方的導覽列中,選擇您的使用者名稱,然後選擇 安全憑證

    
                  AWS 管理主控台安全認證連結

執行以下任意一項:

建立存取金鑰
  1. Access keys (存取金鑰) 區段中,選擇 Create access key (建立存取金鑰)。如果您已經有兩個存取金鑰,則此按鈕將被停用,您必須先刪除一個存取金鑰才能建立新的存取金鑰。

  2. Access key best practices & alternatives (存取金鑰最佳實務與替代方案) 頁面上,選擇您的使用案例以了解可協助您避免建立長期存取金鑰的其他選項。若您判定您的使用案例仍需要存取金鑰,請選取 Other (其他),然後再選擇 Next (下一步)。

  3. (選用) 為存取金鑰設定描述標籤值。這將新增標籤鍵值對到您的 IAM 使用者。這可協助您在未來辨別與更新存取金鑰。標籤索引鍵被設定為存取金鑰 id。標籤值被設定為您指定的存取金鑰描述。完成時,選擇 Create access key (建立存取金鑰)。

  4. Retrieve access keys (擷取存取金鑰) 頁面上,選擇 Show (顯示) 以顯示您的使用者的私密存取金鑰的值,或選擇 Download .csv file (下載 .csv 檔案)。這是您儲存您的私密存取金鑰的唯一機會。在將您的私密存取金鑰儲存到安全位置以後,選取 Done (完成)。

要停用存取金鑰
  • Access keys (存取金鑰) 區段中,找到您想要停用的金鑰,然後選取 Actions (動作),再選擇 Deactivate (停用)。出現確認提示時,請選取 Deactivate (停用)。停用的存取金鑰仍會計入兩個存取金鑰的限制。

要啟用存取金鑰
  • Access keys (存取金鑰) 區段中,找到要啟用的金鑰,然後選取 Actions (動作),再選擇 Activate (啟用)。

要刪除不再需要的存取金鑰
  • Access keys (存取金鑰) 區段中,找到您想要刪除的金鑰,然後選取 Actions (動作),再選擇 Delete (刪除)。依照對話中的指示先 Deactivate (停用),然後再確認刪除。建議您在永久刪除存取金鑰前驗證不再使用該存取金鑰。

建立、修改或刪除另一 IAM 使用者的存取金鑰 (主控台)
  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇要為其管理存取金鑰的使用者名稱,然後選擇 Security credentials (安全憑證) 索引標籤。

  4. Access keys (存取金鑰) 區段,執行下列項目:

    • 若要建立存取金鑰,選擇 Create access key (建立存取金鑰)。如果按鈕被停用,則您必須先刪除其中一個現有的金鑰,才能建立新的金鑰。在 Access key best practices & alternatives (存取金鑰最佳實務與替代方案) 頁面上,檢閱最佳實務和替代方案。選擇您的使用案例以了解可協助您避免建立長期存取金鑰的其他選項。若您判定您的使用案例仍需要存取金鑰,請選取 Other (其他),然後再選擇 Next (下一步)。在 Retrieve access keys (擷取存取金鑰) 頁面上,選擇 Show (顯示) 以顯示您的使用者的私密存取金鑰的值。如要將存取金鑰 ID 和私密存取金鑰儲存到 .csv 檔案並在您電腦中的安全位置保管,請選擇 Download .csv file (下載 .csv 檔案) 按鈕。當您為您的使用者建立存取金鑰時,在預設情況下,該金鑰對是作用中的,且您的使用者可以立即使用該金鑰對。

    • 若要停用作用中的存取金鑰,請選取 Actions (動作),然後再選擇 Deactivate (停用)。

    • 若要啟用非作用中的存取金鑰,請選取 Actions (動作),然後再選擇 Activate (啟用)。

    • 若要刪除您的存取金鑰,請選取 Actions (動作),然後再選擇 Delete (刪除)。依照對話中的指示先 Deactivate (停用),然後再確認刪除。 AWS 建議在執行此動作前,您要先停用該金鑰,然後測試不再使用該金鑰。使用時 AWS Management Console,您必須先停用金鑰才能刪除金鑰。

列出 IAM 使用者的存取金鑰 (主控台)
  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇目標使用者的名稱,然後選擇 Security credentials (安全憑證) 索引標籤。在 Access keys (存取金鑰) 區段中,您將看到使用者的存取金鑰和所顯示的每個金鑰的狀態。

    注意

    只有使用者的存取金鑰 ID 是可見的。只有在建立金鑰時才能擷取私密存取金鑰。

列出多個 IAM 使用者的存取金鑰 ID (主控台)
  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 如有必要,請透過完成以下步驟將 Access key ID (存取金鑰 ID) 欄新增到使用者表格:

    1. 在最右側的表格上方,選擇設定圖示 ( 
                           Settings icon
                        )。

    2. Manage columns (管理欄) 中,選取 Access key ID (存取金鑰 ID)。

    3. 選擇 Close (關閉) 返回使用者清單。

  4. Access key ID (存取金鑰 ID) 欄會顯示每個存取金鑰 ID,其後跟隨其狀態;例如,23478207027842073230762374023 (Active) (作用中) 或 22093740239670237024843420327 (Inactive) (非作用中)。

    您可以使用此資訊來查看和複製具有一個或兩個存取金鑰的使用者的存取金鑰。對於沒有存取金鑰的使用者,該欄會顯示 None (無)。

    注意

    只有使用者的存取金鑰 ID 和狀態是可見的。只有在建立金鑰時才能擷取私密存取金鑰。

尋找哪位 IAM 使用者擁有特定的存取金鑰 (主控台)
  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 在搜尋方塊中,輸入或貼上要尋找的使用者的存取金鑰 ID。

  4. 如有必要,請透過完成以下步驟將 Access key ID (存取金鑰 ID) 欄新增到使用者表格:

    1. 在最右側的表格上方,選擇設定圖示 ( 
                           Settings icon
                        )。

    2. Manage columns (管理欄) 中,選取 Access key ID (存取金鑰 ID)。

    3. 選擇 Close (關閉) 返回使用者清單,並確認已篩選的使用者擁有指定的存取金鑰。

管理存取金鑰 (AWS CLI)

若要從管理 IAM 使用者存取金鑰 AWS CLI,請執行下列命令。

管理存取金鑰 (AWS API)

若要從 AWS API 管理 IAM 使用者的存取金鑰,請呼叫下列操作。

更新存取金鑰

作為安全最佳實務,我們建議在需要時更新 IAM 使用者存取金鑰,如當員工離職時。如果 IAM 使用者已獲得所需許可,他們可以更新自己的存取金鑰。

如需有關授予 IAM 使用者許可,讓他們可更新自己的存取金鑰的詳細資訊,請參閱 AWS:允許 IAM 使用者在安全登入資料頁面上管理自己的密碼、存取金鑰和 SSH 公開金鑰。您還可以套用密碼政策到您的帳戶,以要求所有 IAM 使用者定期更新其密碼並規定必須多久更新一次。如需詳細資訊,請參閱 設定 IAM 使用者的帳戶密碼政策

更新 IAM 使用者存取金鑰 (主控台)

您可以從 AWS Management Console中更新存取金鑰。

在不會中斷您的應用程式下更新 IAM 使用者的存取金鑰 (主控台)
  1. 當第一個存取金鑰仍然有效時,建立第二個存取金鑰。

    1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

    2. 在導覽窗格中,選擇 Users (使用者)。

    3. 選擇目標使用者的名稱,然後選擇 Security credentials (安全憑證) 索引標籤。

    4. Access keys (存取金鑰) 區段中,選擇 Create access key (建立存取金鑰)。在 Access key best practices & alternatives (存取金鑰最佳實務與替代方案) 頁面上,選取 Other (其他),然後再選擇 Next (下一步)。

    5. (選用) 為存取金鑰設定描述標籤值,以新增標籤鍵值對到此 IAM 使用者。這可協助您在未來辨別與更新存取金鑰。標籤索引鍵被設定為存取金鑰 id。標籤值被設定為您指定的存取金鑰描述。完成時,選擇 Create access key (建立存取金鑰)。

    6. Retrieve access keys (擷取存取金鑰) 頁面上,選擇 Show (顯示) 以顯示您的使用者的私密存取金鑰的值,或選擇 Download .csv file (下載 .csv 檔案)。這是您儲存您的私密存取金鑰的唯一機會。在將您的私密存取金鑰儲存到安全位置以後,選取 Done (完成)。

      當您為您的使用者建立存取金鑰時,在預設情況下,該金鑰對是作用中的,且您的使用者可以立即使用該金鑰對。此時,使用者有兩個作用中的存取金鑰。

  2. 更新所有應用程式和工具以使用新的存取金鑰。

  3. 透過查看 Last used (上次使用) 資訊中最舊的存取金鑰,判斷第一個存取金鑰是否仍在使用中。其中一個方法是等待幾天,然後在繼續之前檢查舊的存取金鑰以供使用。

  4. 即使 Last used (上次使用) 資訊指示從未使用舊金鑰,我們建議您不要立即刪除第一個存取金鑰。反之,選擇 Actions (動作),然後選擇 Deactivate (停用) 來停用第一個存取金鑰。

  5. 僅使用新的存取金鑰來確認您的應用程式正在工作。任何仍然使用原始存取金鑰的應用程式和工具,此時將停止運作,因為它們無法再存取 AWS 資源。如果您找到此類應用程式或工具,則可以重新啟用第一個存取金鑰。然後,返回 步驟 3 並更新此應用程式以使用新的金鑰。

  6. 等待一段時間後確保所有應用程式和工具都已更新,您可以刪除第一個存取金鑰:

    1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

    2. 在導覽窗格中,選擇 Users (使用者)。

    3. 選擇目標使用者的名稱,然後選擇 Security credentials (安全憑證) 索引標籤。

    4. Access keys (存取金鑰) 區段中,找到您想要刪除的存取金鑰,然後選取 Actions (動作),再選擇 Delete (刪除)。依照對話中的指示先 Deactivate (停用),然後再確認刪除。

要確定哪些存取金鑰需要更新或刪除 (主控台)
  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 如有必要,請透過完成以下步驟將 Access key age (存取金鑰使用期限) 欄新增到使用者表格:

    1. 在最右側的表格上方,選擇設定圖示 ( 
                              Settings icon
                           )。

    2. Manage columns (管理欄) 中,選取 Access key age (存取金鑰使用期限)。

    3. 選擇 Close (關閉) 返回使用者清單。

  4. Access key age (存取金鑰使用期限) 列顯示自建立最早的作用中存取金鑰以來的天數。您可以使用此資訊來尋找可能需要更新或刪除存取金鑰的使用者。對於沒有存取金鑰的使用者,該欄會顯示 None (無)。

更新存取金鑰 (AWS CLI)

您可以從 AWS Command Line Interface中更新存取金鑰。

在不會中斷您的應用程式下更新存取金鑰 (AWS CLI)
  1. 當第一個存取金鑰仍然有效時,建立第二個存取金鑰,該索引鍵在預設情況下處於作用中。執行以下命令:

  2. 更新所有應用程式和工具以使用新的存取金鑰。

  3. 使用此命令判斷第一個存取金鑰是否仍在使用中:

    其中一個方法是等待幾天,然後在繼續之前檢查舊的存取金鑰以供使用。

  4. 即使步驟 步驟 3 表示不使用舊金鑰,我們也建議您不要立即刪除第一個存取金鑰。反之,使用此命令將第一個存取金鑰的狀態變更為 Inactive

  5. 僅使用新的存取金鑰來確認您的應用程式正在工作。任何仍然使用原始存取金鑰的應用程式和工具,此時將停止運作,因為它們無法再存取 AWS 資源。如果找到此類應用程式或工具,則可以將其狀態切換回 Active 以重新啟用第一個存取金鑰。然後,返回步驟 步驟 2 並更新此應用程式以使用新的金鑰。

  6. 等待一段時間後確保所有應用程式和工具都已更新,可以使用此命令刪除第一個存取金鑰:

更新存取金鑰 (AWS API)

您可以使用 AWS API 更新存取金鑰。

在不中斷應用程式的情況下更新存取金鑰 (AWS API)
  1. 當第一個存取金鑰仍然有效時,建立第二個存取金鑰,該索引鍵在預設情況下處於作用中。呼叫以下操作:

  2. 更新所有應用程式和工具以使用新的存取金鑰。

  3. 透過呼叫此操作判斷第一個存取金鑰是否仍在使用中:

    其中一個方法是等待幾天,然後在繼續之前檢查舊的存取金鑰以供使用。

  4. 即使步驟 步驟 3 表示不使用舊金鑰,我們也建議您不要立即刪除第一個存取金鑰。反之,呼叫此操作將第一個存取金鑰的狀態變更為 Inactive

  5. 僅使用新的存取金鑰來確認您的應用程式正在工作。任何仍然使用原始存取金鑰的應用程式和工具,此時將停止運作,因為它們無法再存取 AWS 資源。如果找到此類應用程式或工具,則可以將其狀態切換回 Active 以重新啟用第一個存取金鑰。然後,返回步驟 步驟 2 並更新此應用程式以使用新的金鑰。

  6. 等待一段時間後確保所有應用程式和工具都已更新,您可以刪除呼叫此操作的第一個存取金鑰:

保護存取金鑰

擁有您存取金鑰的任何人都擁有與您相同的 AWS 資源存取層級。因此, AWS 竭盡全力保護您的訪問密鑰,並且,與我們的共享責任模式保持一致,您也應該如此。

展開下列各節,以取得協助您保護存取金鑰的指引。

注意

您組織的安全要求和政策,可能會與本主題中所述的狀況不同。這裡提供的建議旨在做為一般指導方針。

保護帳戶其中一個最佳方法是,不要有 AWS 帳戶根使用者的存取金鑰。除非您必須要有根使用者存取金鑰 (少數情況下),否則最好不要產生存取金鑰。請改 AWS IAM Identity Center 為在中建立每日管理工作的管理使用者。如需如何在 IAM 身分中心建立管理使用者的詳細資訊,請參閱 IAM 身分中心使用者指南中的入門

如果您已經有帳戶的根使用者存取金鑰,建議您執行以下步驟:找出應用程式中目前使用金鑰 (如果有) 的地方,以 IAM 使用者存取金鑰取代根使用者存取金鑰。然後停用並移除根使用者存取金鑰。如需有關如何更新存取金鑰的詳細資訊,請參閱 更新存取金鑰

在許多情況下,您不必像 IAM 使用者一樣需要永遠不會過期的長期存取金鑰。反之,您可以建立 IAM 角色並產生暫時安全憑證。臨時安全登入資料包含存取金鑰 ID 和私密存取金鑰,但其中也包含指出登入資料何時到期的安全符記。

例如與 IAM 使用者和根使用者相關聯的長期存取金鑰,會一直保持有效,直到您手動撤銷為止。不過,透過 IAM 角色和其他功能取得的臨時安全登入資料 AWS Security Token Service 會在短時間後過期。使用臨時安全登入資料,可協助降低風險,以防登入資料意外洩露。

請在以下案例中使用 IAM 角色和臨時安全憑證:

  • 您有一個應用程式或 AWS CLI 指令碼在 Amazon EC2 執行個體上執行。請勿直接在應用程式中使用存取金鑰。請勿將存取金鑰傳遞至應用程式、將其嵌入應用程式中,或讓應用程式從任何來源讀取存取金鑰。反之,請定義具有應用程式適當權許可的 IAM 角色,然後使用 EC2 角色啟動 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。這樣做會將 IAM 角色與 Amazon EC2 執行個體相關聯。這種做法也可讓應用程式取得臨時安全憑證,以便用來對 AWS進行程式化呼叫。 AWS SDK 和 AWS Command Line Interface (AWS CLI) 可以自動從角色取得臨時認證。

  • 您需要授予跨帳戶存取權。使用 IAM 角色培養帳戶之間的信任,然後對一個帳戶中的使用者授予有限的許可,以存取信任的帳戶。如需詳細資訊,請參閱 IAM 教學課程:使用 IAM 角色將存取許可委派給不同 AWS 帳戶

  • 您有一個行動應用程式。請勿使用應用程式內嵌存取金鑰,甚至是內嵌於加密儲存中。反之,請使用 Amazon Cognito 來管理應用程式中的使用者身分。此服務可讓您使用 Login with Amazon、Facebook、Google 或任何與身分提供者相容的 OpenID Connect (OIDC),驗證使用者的身分。然後,您可以使用 Amazon Cognito 憑證供應商,管理應用程式用來向 AWS提出請求的憑證。

  • 您想要聯合到, AWS 且您的組織支援 SAML 2.0。如果您處理的組織是具有支援 SAML 2.0 的身分識別提供者的組織,請將提供者設定為使用 SAML。您可以使用 SAML 交換驗證資訊, AWS 並取回一組臨時安全登入資料。如需詳細資訊,請參閱 SAML 2.0 聯合身分

  • 您想要聯合到, AWS 且您的組織擁有內部部署識別身分存放區。如果使用者可以在組織內部進行驗證,您可以撰寫一個應用程式,讓他們發出臨時安全登入資料以存取 AWS 資源。如需詳細資訊,請參閱 啟用自訂身分識別代理存取主 AWS 控台

注意

您是否將 Amazon EC2 執行個體與需要以程式設計方式存取 AWS 資源的應用程式搭配使用? 如果是,請使用適用於 EC2 的 IAM 角色

如果您必須建立以程式設計方式存取的存取金鑰 AWS,請為 IAM 使用者建立存取金鑰,並僅授與使用者所需的權限。

遵循這些預防措施,以協助保護 IAM 使用者存取金鑰:

  • 請勿將存取金鑰直接嵌入程式碼。AWS SDKAWS 命令列工具可讓您將存取金鑰放入已知位置,如此一來,就不必將其留在程式碼中。

    將存取金鑰放入以下其中一個位置:

    • 認 AWS 證檔案。 AWS SDK 並 AWS CLI 自動使用您存儲在憑據文件中的 AWS 憑據。

      如需使用 AWS 認證檔案的相關資訊,請參閱 SDK 的說明文件。範例包括AWS SDK for Java 開發人員指南中的設定認 AWS 證和區域,以及AWS Command Line Interface 使用者指南中的組態和認證檔案

      若要儲存 AWS SDK for .NET 和的認證 AWS Tools for Windows PowerShell,建議您使用 SDK 存放區。如需詳細資訊,請參閱《AWS SDK for .NET 開發人員指南》中的使用 SDK Store

    • 環境變數. 在多租用戶系統中,請選擇使用者環境變數,而不是系統環境變數。

      如需有關使用環境變數來存放憑證的詳細資訊,請參閱《AWS Command Line Interface 使用者指南》中的環境變數

  • 對不同的應用程式使用不同的存取金鑰。如果它們已經公開,這麼做可以隔離許可,並撤銷個別應用程式的存取金鑰。針對不同的應用程式擁有獨立的存取金鑰,也會在 AWS CloudTrail 日誌檔中產生不同的項目。此組態可讓您更容易判斷哪個應用程式執行特定動作。

  • 視需要更新存取金鑰。若有存取金鑰可能遭洩露的風險,請更新該存取金鑰並刪除先前的存取金鑰。如需詳細資訊,請參閱更新存取金鑰

  • 移除未使用的存取金鑰。如果使用者離開組織,請移除相對應的 IAM 使用者,使該使用者無法再存取您的資源。要了解上次使用訪問密鑰的時間,請使用 GetAccessKeyLastUsedAPI(AWS CLI 命令:aws iam get-access-key-last-used)。

  • 為最機密的 API 操作使用臨時憑證並設定多重驗證。利用 IAM 政策,可以指定允許使用者呼叫的 API 操作。在某些情況下,您可能希望在允許使用者執行特別敏感的動作之前,要求使用者經過 AWS MFA 驗證的額外安全性。例如,您可能擁有允許使用者執行 Amazon EC2 RunInstancesDescribeInstancesStopInstances 動作的政策。但是您可能想要限制破壞性的動作,例如,TerminateInstances並確保使用者只有在使用 AWS MFA 裝置進行驗證時才能執行該動作。如需詳細資訊,請參閱 設定受 MFA 保護的 API 存取

您可以使用 AWS 移動應用程序訪問一組有限的 AWS 服務和功能。行動應用程式可協助您在外出時支援事件回應。如需詳細資訊及下載應用程式,請參閱 AWS 主控台行動應用程式

您可以使用主控台密碼或存取金鑰登入行動應用程式。根據最佳實務,請勿使用根使用者存取金鑰。相反地,我們強烈建議您除了在行動裝置上使用密碼或生物識別鎖定外,還要建立專門用於使用行動應用程式管理 AWS 資源的 IAM 使用者。如果您遺失行動裝置,您可以移除 IAM 使用者的存取權。

使用存取金鑰登入 (行動應用程式)
  1. 在行動裝置上開啟應用程式。

  2. 如果這是您第一次將身分新增至裝置,請依序選擇 Add an identity (新增身分) 及選擇 Access keys (存取金鑰)

    如果您已經使用其他身分登入,請依序選擇功能表圖示及 Switch identity (切換身分)。然後依序選擇 Sign in as a different identity (以不同的身分登入)Access keys (存取金鑰)

  3. Access keys (存取金鑰) 頁面輸入您的資訊。

    • 存取金鑰 ID – 輸入您的存取金鑰 ID。

    • 私密存取金鑰 – 輸入您的私密存取金鑰。

    • 身分名稱 – 輸入將顯示在行動應用程式中的身分識別名稱。這不需要與您的 IAM 使用者名稱相符。

    • 身分識別 PIN – 建立您將在未來登入期間使用的個人識別碼 (PIN)。

      注意

      如果您啟用了 AWS 流動應用程式的生物辨識功能,系統會提示您使用指紋或臉部辨識來進行驗證,而非 PIN 碼。如果生物特徵辨識失敗,系統可能會提示您輸入 PIN 碼。

  4. 選擇 Verify and add keys (驗證並新增金鑰)

    您現在可以使用行動應用程式存取精選的一組資源。

下列主題提供設定 AWS SDK 和使用存取金鑰 AWS CLI 的指引:

稽核存取金鑰

您可以檢閱程式碼中的 AWS 存取金鑰,以判斷金鑰是否來自您擁有的帳戶。您可以使用aws sts get-access-key-info AWS CLI 命令或 GetAccessKeyInfo AWS API 操作傳遞訪問密鑰 ID。

AWS CLI 和 AWS API 作業會傳回存取金鑰所屬的識別碼。 AWS 帳戶 開頭為 AKIA 的存取金鑰是 IAM 使用者或 AWS 帳戶根使用者的長期登入資料。以開頭的存取金鑰 ID ASIA 是使用 AWS STS 作業建立的暫時認證。如果回應中的帳戶是您的,您可以根使用者的身分登入並檢閱根使用者存取金鑰。然後,您可以提取憑證報告來了解擁有金鑰的是哪位 IAM 使用者。若要瞭解誰要求ASIA存取金鑰的臨時登入資料,請檢視 CloudTrail 記錄檔中的 AWS STS 事件。

基於安全考量,您可以檢閱 AWS CloudTrail 記錄檔以瞭解中執行動作的人員 AWS。您可以使用角色信任政策中的 sts:SourceIdentity 條件金鑰,請求使用者在擔任角色時指定身分。例如,您可以請求 IAM 使用者將自己的使用者名稱指定為其來源身分。這可以協助您判斷哪位使用者在 AWS中執行了特定動作。如需詳細資訊,請參閱 sts:SourceIdentity

此操作不會指出存取金鑰的狀態。金鑰可能是作用中、非作用中或已刪除。作用中金鑰可能沒有操作的執行許可。提供已刪除的存取金鑰可能會傳回金鑰不存在的錯誤。