本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
本文介绍凭据获取及使用建议。
凭据是指用户证明其身份的一组信息。用户在系统中进行登录时,需要提供正确的凭据才能验证身份。常见的凭据类型有:
阿里云主账号和RAM用户的永久凭据 AccessKey(简称AK)。一组由AccessKey ID和AccessKey Secret组成的密钥对。
阿里云RAM角色的STS临时访问Token,简称STS Token。它是可以自定义时效和访问权限的临时身份凭据,详情请参见什么是STS。
Bearer Token。它是一种身份验证和授权的令牌类型。
AccessKey
主账号
每个阿里云账号能够同时拥有不超过5个AK对(包含禁用状态)。您可以登录RAM访问控制台,申请新增或删除AK对。每个AK对都有启用和禁用两种状态,只有启用的AK对才能在身份验证时使用。
由于主账号 AK 有资源完全的权限,一旦泄露风险巨大。
RAM用户
每个 RAM 用户最多允许创建2个 AK。您可以登录RAM控制台,进入到具体的RAM用户的详情页面,点击创建AccessKey。
AccessKey 在线时间越长,泄露风险越高,建议您定期轮换。
STS Token
RAM 角色不具备永久身份凭证,通过 STS 获取可以自定义时效和访问权限的临时身份凭证(STS Token),然后使用 STS Token 访问阿里云资源。
临时身份凭证只有一定的时效,若过期失效,需要再次调用 STS 获取最新的 STS Token。
Bearer Token
目前只有云呼叫中心CCC这款产品支持Bearer Token的凭据初始化方式。您可在鉴权方式配置选择Bearer Token方式。
使用建议
凭据如果发生泄漏,可能会给云上资源及业务带来巨大的安全隐患,日常运维管理要尤其注意凭据的安全使用。更多详情请参见凭据的安全使用方案。