全部產品
Search

搜尋本產品

    Resource Access Management:存取金鑰(AccessKey)常見問題

    文件中心

    Resource Access Management:存取金鑰(AccessKey)常見問題

    更新時間:Jul 12, 2025

    本文為您介紹存取金鑰(AccessKey)相關的一些常見問題。包括什麼是AccessKey、如何查看AccessKey、AccessKey是否還在使用、AccessKey泄露後如何處理等。

    什麼是AccessKey

    存取金鑰AccessKey(簡稱AK)是阿里雲提供給使用者的永久訪問憑據,由AccessKey ID和AccessKey Secret組成的一組金鑰組。

    • AccessKey ID:用於標識使用者。

    • AccessKey Secret:是一個用於驗證您擁有該AccessKey ID的密碼。

    AccessKey ID和AccessKey Secret根據演算法由存取控制(RAM)產生,阿里雲對AccessKey ID和AccessKey Secret的儲存及傳輸均進行加密。

    AccessKey不用於控制台登入,而是用於通過開發工具(API、CLI、SDK、Terraform等)訪問阿里雲時,發起的請求會攜帶AccessKey ID和AccessKey Secret加密請求內容產生的簽名,進行身分識別驗證及請求合法性校正。

    阿里雲有幾種AccessKey?

    • 阿里雲帳號(主帳號)AccessKey

      由阿里雲帳號(主帳號)建立,預設擁有當前帳號的全部許可權,可執行所有操作,一旦泄露風險極高,強烈建議不建立和使用主帳號AccessKey。

    • RAM使用者AccessKey

      屬於RAM使用者的程式訪問憑證,需要先建立RAM使用者,然後才能為該RAM使用者建立AccessKey。RAM使用者AccessKey繼承RAM使用者的許可權,可以進行最小化許可權管理。請為每一個獨立業務應用程式指派一個獨立的RAM使用者和AccessKey,避免混用擴大泄露風險。

    建立AccessKey後,可以查看哪些資訊?

    建立AccessKey後,您可以再次查看AccessKey ID、狀態、最後使用雲端服務、最後使用時間和建立時間等基本資料。關於如何查看RAM使用者的AccessKey資訊,請參見查看RAM使用者的AccessKey資訊

    建立AccessKey後,能否再次查看AccessKey ID?

    可以。

    建立AccessKey後,能否再次查看AccessKey Secret?

    不能。為降低AccessKey泄露的風險,阿里雲帳號(主帳號)和RAM使用者的AccessKey Secret只在建立時顯示,後續不支援查看,請妥善保管。

    如何判斷AccessKey是否還在使用?

    您可以通過控制台或API查看AccessKey的最後使用時間,以此判斷AccessKey是否還在使用。具體如下:

    建立AccessKey後,能否修改AccessKey ID?

    AccessKey ID不能修改。您只能禁用、啟用或刪除AccessKey。

    AccessKey刪除後能否恢複?

    RAM提供了資源回收筒功能,刪除RAM使用者的AccessKey時,會先將AccessKey移入資源回收筒,資源回收筒中的AccessKey支援恢複

    但是,資源回收筒中的AccessKey儲存期限為30天,超到期限系統會自動清理這些AccessKey,也就是徹底刪除AccessKey。您也可以在資源回收筒中手動徹底刪除Accesskey。對於徹底刪除的AccessKey,無法恢複

    更多資訊,請參見刪除RAM使用者的AccessKey

    警告

    刪除AccessKey需謹慎,在使用中的AccessKey一旦刪除,可能會造成您的應用系統故障。

    AccessKey疑似泄露時如何處理?

    具體操作,請參見AccessKey泄露處理方案

    如何查詢AccessKey歸屬的帳號?

    AccessKey是一種程式訪問憑證,屬于敏感資訊,阿里雲無法向您提供查詢任意AccessKey歸屬帳號的能力。

    如您確實有此類需求,您可以嘗試以下方法,查詢您許可權範圍內的AccessKey歸屬資訊:

    • 您可以使用自己的阿里雲帳號登入RAM控制台,在使用者頁面的搜尋方塊中,輸入AccessKey ID查詢。如您有多個阿里雲帳號時,需要在各個帳號中依次查詢。

    • 如果您開通了資來源目錄,且在Action Trail中建立多帳號跟蹤,將資來源目錄內所有成員的操作事件投遞到Log ServiceSLS或Object Storage Service,您就可以在審計日誌中嘗試查詢AccessKey歸屬資訊。

    遇到報錯“There is a risk of leakage of this AccessKey.”時,如何處理?

    該報錯表示當前用於身分識別驗證的AccessKey已被限制性保護。解決辦法,請參見AccessKey限制性保護說明

    當出現API調用被網路訪問限制策略拒絕,且該拒絕不符合您的預期時,該怎麼辦?

    問題現象

    AccessKey網路訪問限制策略生效後,調用來源IP地址不在允許範圍內將會被拒絕,常見的報錯如下:

    Message: The specified parameter "AccessKeyId.AccessPolicyDenied" is not valid.
    Message: code: 400, Specified access key denied due to access policy.

    解決方案

    當出現調用被網路訪問限制策略拒絕,且該拒絕不符合您的預期時,您可以按如下操作嘗試解決:

    1. 確認被限制的AccessKey是否設定了AccessKey級網路訪問限制策略。

      • 是:修改AccessKey級網路訪問限制策略,將來源IP地址加入到策略中。

      • 否:繼續下一步檢查。

    2. 使用Resource Access Management員檢查並修改帳號級AccessKey網路訪問限制策略,將來源IP地址加入到策略中。

    3. 如果還存在問題,可能考慮是因為來源IP地址不準確,您需要檢查並擷取準確的IP地址。

      您可以通過Action Trail輔助查詢AccessKey的歷史調用來源IP地址。更多資訊,請參見在Action Trail查看歷史調用IP地址