本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用長期登入資料進行驗證
警告
為了避免安全風險,開發專用軟體或使用真實資料時,請勿使用IAM使用者進行身分驗證。相反地,搭配使用聯合功能和身分提供者,例如 AWS IAM Identity Center。
如果您使用 IAM使用者執行程式碼,則開發環境中的 SDK或 工具會使用共用 AWS credentials
檔案中的長期IAM使用者登入資料進行身分驗證。檢閱主題中的安全最佳實務IAM,並盡快轉換至 IAM Identity Center 或其他暫時登入資料。
憑證的重要警告和指引
憑證警告
-
請使用NOT您帳戶的根登入資料來存取 AWS 資源。這些登入資料可讓未管制的帳戶存取和很難撤銷這些帳戶。
-
務必NOT將常值存取金鑰或登入資料資訊放入您的應用程式檔案中。如果您不小心這麼做了,則會有暴露您登入資料的風險,例如,當您上傳專案到公有儲存庫時。
-
請在NOT您的專案區域中包含包含登入資料的檔案。
-
請注意,存放在共用 AWS
credentials
檔案中的任何登入資料都會以純文字儲存。
安全管理憑證的其他指引
如需如何安全管理 AWS 憑證的一般討論,請參閱 中管理 AWS 存取金鑰的最佳實務AWS 一般參考。除了討論之外,請考慮下列事項:
-
針對 IAM Amazon Elastic Container Service (Amazon ) 任務使用 角色。 ECS
-
針對在 Amazon EC2執行個體上執行的應用程式使用 IAM角色。
先決條件:建立 AWS 帳戶
若要使用 IAM使用者存取 AWS 服務,您需要 AWS 帳戶和 AWS 登入資料。
-
建立帳戶。
若要建立 AWS 帳戶,請參閱 AWS Account Management 參考指南中的入門:您是第一次 AWS 使用 嗎?。
-
建立管理使用者。
避免使用根使用者帳戶 (您建立的初始帳戶) 來存取管理主控台與服務。反之,請建立管理使用者帳戶,如 IAM 使用者指南中的建立管理使用者所述。
建立管理使用者帳戶並記錄登入詳細資料之後,請務必登出您的根使用者帳戶,然後使用管理帳戶重新登入。
這些帳戶都不適合在 上執行開發, AWS 或在 上執行應用程式 AWS。最佳實務是,您需要建立適合這些任務的使用者、許可集或服務角色。如需詳細資訊,請參閱《IAM 使用者指南》中的套用最低權限許可。
步驟 1:建立您的IAM使用者
-
IAM 遵循 使用者指南中的建立IAM使用者 (主控台) 程序來建立您的使用者。 IAM 建立IAM使用者時:
-
建議您選取提供使用者存取權 AWS Management Console。這可讓您檢視與在視覺化環境中執行的程式碼 AWS 服務 相關的 ,例如檢查 AWS CloudTrail 診斷日誌或將檔案上傳至 Amazon Simple Storage Service,這在偵錯程式碼時很有幫助。
-
針對設定許可 - 許可選項,選取直接連接政策,以了解如何將許可指派給此使用者。
-
大多數「入門」SDK教學課程使用 Amazon S3 服務作為範例。若要讓應用程式能夠完整存取 Amazon S3,請選取要連接至此使用者的
AmazonS3FullAccess
政策。
-
-
您可以忽略該程序有關設定許可界限或標籤的選用步驟。
-
步驟 2:取得您的存取金鑰
-
在IAM主控台的導覽窗格中,選取使用者,然後選取您先前建立的使用者
User name
的 。 -
在使用者頁面上,選取安全憑證頁面。接著,在存取金鑰下,選取建立存取金鑰。
-
針對建立存取金鑰步驟 1,選擇命令列界面 (CLI) 或本機程式碼。這兩個選項都會產生與 AWS CLI 和 搭配使用的相同類型金鑰SDKs。
-
在建立存取金鑰步驟 2 中,輸入選用標籤並選取下一步。
-
針對建立存取金鑰步驟 3,選取下載 .csv 檔案,以儲存具有IAM使用者存取金鑰和私密存取金鑰
.csv
的檔案。您之後將會用到此資訊。警告
使用適當的安全措施來保護這些登入資料的安全。
-
選取 Done (完成)。
步驟 3:更新共用credentials
檔案
-
建立或開啟共用的 AWS
credentials
檔案。這個檔案是位於 Linux 和 macOS 系統上的~/.aws/credentials
和 Windows 上的%USERPROFILE%\.aws\credentials
。如需詳細資訊,請參閱登入資料檔案的位置。 -
將以下文字新增至共用的
credentials
檔案。將範例 ID 值和範例索引鍵值取代為您先前下載的.csv
檔案中的值。[default] aws_access_key_id =
AKIAIOSFODNN7EXAMPLE
aws_secret_access_key =wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
-
儲存檔案。
共用credentials
檔案是存放登入資料的最常見方式。這些也可以設定為環境變數,請參閱 AWS 存取金鑰 以取得環境變數名稱。這是讓您開始使用的方法,但我們建議您盡快轉換到 IAM Identity Center 或其他臨時登入資料。在您轉換不使用長期憑證之後,請記得從共用credentials
檔案刪除這些憑證。