本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用舊版憑證
本節中的主題提供有關在不使用 AWS IAM Identity Center 的情況下使用長期或短期憑證資訊。
警告
為避免安全風險,在開發專用軟體或使用真實資料時,請勿使用 IAM 使用者進行身分驗證。相反地,搭配使用聯合功能和身分提供者,例如 AWS IAM Identity Center。
注意
憑證的重要警告和指引
憑證警告
-
請勿使用您帳戶的根憑證存取 AWS 資源。這些登入資料可讓未管制的帳戶存取和很難撤銷這些帳戶。
-
請勿在應用程序文件中放置文字訪問密鑰或憑據信息。如果您不小心這麼做了,則會有暴露您登入資料的風險,例如,當您上傳專案到公有儲存庫時。
-
請勿在您的專案區域中包含認證的檔案。
-
請注意,共享 AWS
credentials檔案中儲存的任何憑證均以純文字形式儲存。
安全管理憑證的其他指引
如需如何AWS安全管理AWS登入資料的一般討論,請參閱《IAM 使用者指南》中AWS 一般參考的安全性最佳實務和使用案例中的安全登入資料。除了這些討論之外,請考慮下列事項:
-
建立其他使用者 (例如 IAM Identity Center 中的使用者),並使用其憑證,而不是使用您的 AWS 根使用者憑證。如有必要,其他使用者的憑證可以被撤銷,或本質上是臨時的。此外,您可以將政策套用至每個使用者,以便僅存取特定資源和動作,從而採取最低權限許可的立場。
-
使用適用於 Amazon Elastic Container Service (Amazon ECS) 任務的任務 IAM 角色。
-
使用在 Amazon EC2 執行個體上執行的應用程式的 IAM 角色。
-
針對組織外部使用者可以使用的應用程式,使用臨時認證或環境變數。
