访问控制：访问密钥常见问题

什么是AccessKey

在调用阿里云API时您需要使用AccessKey完成身份验证。AccessKey包括AccessKey ID和AccessKey Secret，需要一起使用。具体如下：

• AccessKey ID：用于标识用户。

• AccessKey Secret：用于验证用户的密钥。AccessKey Secret必须保密。

创建AccessKey后，可以查看哪些信息？

创建AccessKey后，您可以再次查看AccessKey ID、状态、最后使用时间和创建时间等基本信息。关于如何查看RAM用户的AccessKey信息，请参见查看RAM用户的AccessKey信息。

创建AccessKey后，能否再次查看AccessKey ID？

可以。

创建AccessKey后，能否再次查看AccessKey Secret？

RAM用户的AccessKey Secret只在创建时显示，创建后将不能再次查看。阿里云账号（主账号）的AccessKey Secret支持查看。

如何判断AccessKey是否还在使用？

您可以通过控制台或API查看AccessKey的最后使用时间，以此判断AccessKey是否还在使用。具体如下：

• AccessKey管理页面

  阿里云账号（主账号）登录时，查看该阿里云账号AccessKey的最后使用时间。RAM用户登录时，查看该RAM用户AccessKey的最后使用时间。

• RAM控制台

  阿里云账号（主账号）或具有管理员权限的RAM用户登录时，查看所有RAM用户AccessKey的最后使用时间。具体操作，请参见查看RAM用户的AccessKey信息。

• GetAccessKeyLastUsed - 查询指定访问密钥的最后使用时间

  您可以调用该API查看阿里云账号（主账号）或RAM用户AccessKey的最后使用时间。

创建AccessKey后，能否修改AccessKey ID？

AccessKey ID不能修改。您只能禁用、启用或删除AccessKey。

AccessKey删除后能否恢复？

已经删除的AccessKey是无法恢复的，包括AccessKey ID和AccessKey Secret。

AccessKey发生泄露时如何处理？

阿里云账号（主账号）AccessKey等同于主账号完全管理权限，而且无法进行条件限制（例如：访问来源IP地址、访问时间等），一旦泄露会威胁该账号下所有资源的安全，风险极大。所以，强烈建议您给RAM用户创建AccessKey，不要给阿里云账号（主账号）创建AccessKey。

如果您使用的AccessKey不小心发生了泄露，您可以按照以下步骤处理：

• 阿里云账号（主账号）AccessKey泄露

  将阿里云账号（主账号）AccessKey替换为具有AdministratorAccess权限的RAM用户的AccessKey。

  1. 在RAM控制台，创建RAM用户，并授予AdministratorAccess权限。

     具体操作，请参见创建RAM用户和为RAM用户授权。

  2. 为RAM用户创建AccessKey。

     具体操作，请参见创建RAM用户的AccessKey。

  3. 在程序或应用的测试环境中，将阿里云账号（主账号）AccessKey替换为RAM用户AccessKey，并验证程序或应用可以正常运行。

  4. 在程序或应用的生产环境中，将阿里云账号（主账号）AccessKey替换为RAM用户AccessKey，并验证程序或应用可以正常运行。

  5. 禁用阿里云账号（主账号）AccessKey。

  6. 禁用90天后，如果没有发生与该阿里云账号（主账号）AccessKey相关的问题，则可以直接删除该阿里云账号（主账号）AccessKey。

• RAM用户的AccessKey泄露

  为RAM用户重新创建一个AccessKey，用于轮转。具体操作，请参见轮转RAM用户的AccessKey。