全部产品
Search
文档中心

访问控制:访问密钥(AccessKey)常见问题

更新时间:Dec 28, 2023

本文为您介绍访问密钥(AccessKey)相关的一些常见问题。包括什么是AccessKey、如何查看AccessKey、AccessKey是否还在使用、AccessKey泄露后如何处理等。

什么是AccessKey

访问密钥AccessKey(简称AK)是阿里云提供给阿里云用户的永久访问密钥,用于通过开发工具(API、CLI、SDK、Cloud Shell、Terraform等)访问阿里云时的身份验证,不用于控制台登录。

AccessKey包括AccessKey ID和AccessKey Secret,需要一起使用,请妥善保管。具体如下:

  • AccessKey ID:用于标识用户。

  • AccessKey Secret:用于验证用户的密钥。AccessKey Secret必须保密。

AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。

创建AccessKey后,可以查看哪些信息?

创建AccessKey后,您可以再次查看AccessKey ID、状态、最后使用时间和创建时间等基本信息。关于如何查看RAM用户的AccessKey信息,请参见查看RAM用户的AccessKey信息

创建AccessKey后,能否再次查看AccessKey ID?

可以。

创建AccessKey后,能否再次查看AccessKey Secret?

  • RAM用户的AccessKey Secret:只在创建时显示,创建后将不能再次查看。

  • 阿里云账号(主账号)的AccessKey Secret:2023年11月20日起阿里云账号(主账号)AccessKey不支持创建后再次查看AccessKey Secret。2023年7月5日前创建的阿里云账号(主账号)AccessKey尚未签署知情同意书的,控制台提供最后一次保存和下载的功能,确认保存后不能再次查看。

如何判断AccessKey是否还在使用?

您可以通过控制台或API查看AccessKey的最后使用时间,以此判断AccessKey是否还在使用。具体如下:

创建AccessKey后,能否修改AccessKey ID?

AccessKey ID不能修改。您只能禁用、启用或删除AccessKey。

AccessKey删除后能否恢复?

已经删除的AccessKey是无法恢复的,包括AccessKey ID和AccessKey Secret。

警告

删除AccessKey需慎重,在使用中的AccessKey一旦删除,可能会造成您的应用系统故障。

AccessKey发生泄露时如何处理?

阿里云账号(主账号)AccessKey等同于主账号完全管理权限,而且无法进行条件限制(例如:访问来源IP地址、访问时间等),一旦泄露会威胁该账号下所有资源的安全,风险极大。所以,强烈建议您给RAM用户创建AccessKey,不要给阿里云账号(主账号)创建AccessKey。

如果您使用的AccessKey不小心发生了泄露,您可以按照以下步骤处理:

  • 阿里云账号(主账号)AccessKey泄露

    将阿里云账号(主账号)AccessKey替换为具有适当权限的RAM用户的AccessKey。

    1. 在RAM控制台,创建RAM用户。

      具体操作,请参见创建RAM用户

    2. 为RAM用户授予您程序或应用所需的访问权限。

      建议您遵循最小化授权原则为RAM用户授予恰好够用的权限。您可以创建自定义策略,进行精细化授权。如果您对自定义策略还不太了解,也可以先使用阿里云定义的系统策略进行粗粒度授权,并在之后基于对业务的进一步分析,对权限进行收缩。具体操作,请参见创建自定义权限策略为RAM用户授权

    3. 为RAM用户创建AccessKey。

      具体操作,请参见创建RAM用户的AccessKey

    4. 在程序或应用的测试环境中,将主账号AccessKey替换为RAM用户AccessKey,并验证程序或应用可以正常运行。

    5. 在程序或应用的生产环境中,将主账号AccessKey替换为RAM用户AccessKey,并验证程序或应用可以正常运行。

    6. 禁用主账号AccessKey。

    7. 禁用90天后,如果没有发生与该主账号AccessKey相关的问题,则可以直接删除该主账号AccessKey。

  • RAM用户的AccessKey泄露

    为RAM用户重新创建一个AccessKey,用于轮转。具体操作,请参见轮转RAM用户的AccessKey