借助 AWS Identity and Access Management (IAM),您可以管理适用于 IAM 用户的几种长期安全凭证:

  • 密码 – 用于安全登录 AWS 页面,例如 AWS 管理控制台和 AWS 开发论坛。
  • 访问密钥 – 用于从 AWS API、AWS CLI、AWS SDK 或适用于 Windows PowerShell 的 AWS 工具对 AWS 执行编程式调用。
  • Amazon CloudFront 密钥对 – 供 CloudFront 创建签名 URL
  • SSH 公有密钥 – 用于对 AWS CodeCommit 存储库进行身份验证。
  • X.509 证书 – 用于向某些 AWS 服务提交安全的 SOAP 协议请求。

您可以使用 API、CLI 或 AWS 管理控制台向您的 IAM 用户分配 AWS 安全凭证。您可以随时轮换或撤销这些凭证。

除了管理这些用户凭证之外,您可以通过强制使用多重身份验证 (MFA) 来进一步提高 IAM 用户访问 AWS 的安全性。

有关在 AWS 中使用长期安全凭证的更多信息,请参阅 AWS 安全凭证介绍

借助 IAM,您还可以授予用户具有指定期限的临时安全凭证,以供其访问您的 AWS 资源。例如,临时访问非常适合以下情况:

  • 创建采用第三方登录的移动应用程序。
  • 创建采用自定义身份验证的移动应用程序。
  • 使用贵组织的身份验证系统授予访问 AWS 资源的权限。
  • 使用贵组织的身份验证系统和 SAML 授予访问 AWS 资源的权限。
  • 使用基于 Web 的单点登录 (SSO) 来登录 AWS 管理控制台。
  • 向第三方授予 API 访问权限,以便访问您账户中或您的其他账户中的资源。

有关临时安全凭证的更多信息,请参阅使用临时安全凭证指南。