使用長期認證進行驗 - AWS SDKs 和 工具
憑證的重要警告和指引先決條件:建立 AWS 帳戶步驟 1:建立您的IAM使用者步驟 2:取得您的存取金鑰步驟 3:更新共享credentials文件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用長期認證進行驗

警告

為避免安全風險,在開發專用軟件或使IAM用真實數據時,請勿使用用戶進行身份驗證。請改用與身分識別提供者的聯合,例如 AWS IAM Identity Center.

如果您使用使用IAM者執行程式碼,則開發環境中的SDK或工具會使用共用中的長期使用IAM者認證來驗證 AWS credentials文件。檢閱IAM主題中的安全性最佳做法,並儘快轉換至 IAM Identity Center 或其他臨時登入資料。

憑證的重要警告和指引

憑證警告

  • 請NOT使用您帳戶的根憑據訪問 AWS 的費用。這些登入資料可讓未管制的帳戶存取和很難撤銷這些帳戶。

  • 請NOT將文字存取金鑰或憑證資訊放在應用程式檔案中。如果您不小心這麼做了,則會有暴露您登入資料的風險,例如,當您上傳專案到公有儲存庫時。

  • 在您的項目區域中NOT包含包含憑據的文件。

  • 請注意,存儲在共享中的任何憑據 AWS credentials檔案以純文字儲存。

安全管理憑證的其他指引

如需如何安全管理的一般討論 AWS 認證,請參閱管理的最佳做法 AWS 存取金鑰 AWS 一般參考。 除了討論之外,請考慮以下幾點:

先決條件:建立 AWS 帳戶

若要使用使用IAM者存取 AWS 服務,您需要一個 AWS 帳戶和 AWS 認證。

  1. 建立帳戶。

    若要建立 AWS 帳戶,請參閱開始使用:您是第一次使用 AWS 用戶? AWS Account Management 參考指南

  2. 建立管理使用者。

    避免使用根使用者帳戶 (您建立的初始帳戶) 來存取管理主控台與服務。請改為建立管理使用者帳戶,如《使用指南》中的「建立管理使IAM用者」中所述。

    建立管理使用者帳戶並記錄登入詳細資料之後,請務必登出您的根使用者帳戶,然後使用管理帳戶重新登入。

這些帳戶都不適合在上進行開發 AWS 或用於在上運行應用程序 AWS。 最佳作法是,您需要建立適合這些工作的使用者、權限集或服務角色。如需詳細資訊,請參閱《IAM使用指南》中的「套用最低權限」權限

步驟 1:建立您的IAM使用者

  • 按照《IAM使用指南》中的「建立使IAM用者 (主控台)」步驟建立IAM使用者。建立IAM使用者時:

    • 我們建議您選取 [提供使用者存取] AWS Management Console。 這允許您查看 AWS 服務 與您在視覺化環境中執行的程式碼相關,例如檢查 AWS CloudTrail 診斷日誌或將檔案上傳到 Amazon 簡單儲存服務,這在偵錯程式碼時很有幫助。

    • 對於 [設定權限-權限選項],選取 [直接附加原則] 以瞭解您要如何指派權限給此使用者。

      • 大多數「入門」SDK 教學課程都使用 Amazon S3 服務做為範例。若要讓應用程式能夠完整存取 Amazon S3,請選取要連接至此使用者的 AmazonS3FullAccess 政策。

    • 您可以忽略該程序有關設定權限界限或標籤的選擇性步驟。

步驟 2:取得您的存取金鑰

  1. 在IAM主控台的導覽窗格中,選取 [使者],然後User name選取您先前建立的使用者。

  2. 在使用者頁面上,選取安全憑證頁面。接著,在存取金鑰下,選取建立存取金鑰

  3. 對於「建立存取鍵步驟 1」,請選擇「指令行介面」(CLI) 或「本機程式碼」。這兩個選項都會產生相同類型的金鑰,以便與兩者搭配使用 AWS CLI 和SDKs.

  4. 建立存取金鑰步驟 2 中,輸入選用標籤並選取下一步

  5. 在 [建立存取金鑰步驟 3] 中,選取 [下載 .csv 檔案] 以儲存含有IAM使用者存取金鑰和秘密存取金鑰的.csv檔案。您之後將會用到此資訊。

    警告

    使用適當的安全措施來確保這些憑證的安全。

  6. 選取 Done (完成)。

步驟 3:更新共享credentials文件

  1. 建立或開啟共用 AWS credentials文件。這個檔案是位於 Linux 和 macOS 系統上的 ~/.aws/credentials 和 Windows 上的 %USERPROFILE%\.aws\credentials。如需詳細資訊,請參閱認證檔案的位置

  2. 將以下文字新增至共用的 credentials 檔案。將範例 ID 值和範例索引鍵值取代為您先前下載的.csv檔案中的值。

    [default]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  3. 儲存檔案。

共用credentials檔案是儲存認證的最常用方式。這些也可以設置為環境變量,請參AWS 存取金鑰閱環境變量名稱。這是讓您開始使用的一種方式,但我們建議您盡快轉換為 IAM Identity Center 或其他臨時登入資料。避免使用長期認證之後,請記得從共用credentials檔案中刪除這些認證。