文档首页/ 统一身份认证服务 IAM_统一身份认证服务(新版)/ 用户指南/ 身份/ IAM用户/ 管理IAM用户访问密钥
更新时间:2025-09-25 GMT+08:00
查看PDF
分享

管理IAM用户访问密钥

操作说明

访问密钥即AK/SK(Access Key ID/Secret Access Key),是您通过开发工具(API、CLI、SDK)访问华为云时的一种永久身份凭证,不能登录控制台。系统通过AK识别访问用户的身份,通过SK进行签名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。除了访问密钥之外,临时安全凭证也可以用于通过开发工具访问华为云资源,因为访问密钥是永久性的(除非您手动停用或者删除它),一旦泄露将产生较大的影响,因此更加推荐使用临时安全凭证。想要了解临时安全凭证,请参见临时安全凭证概述

如果IAM用户不能登录控制台,在需要使用访问密钥或者访问密钥遗失的情况下,可以由管理员在IAM中管理IAM用户的访问密钥。

  • IAM控制台提供的“安全设置”功能,主要适用于管理员管理IAM用户的访问密钥。在“我的凭证”中也可以管理访问密钥,我的凭证适用于所有用户在可以登录控制台的情况下,自行管理访问密钥。
  • 账号根用户和IAM用户的访问密钥是单独的身份凭证,即账号根用户和IAM用户仅能使用自己的访问密钥进行API调用。

约束与限制

每个用户最多可以拥有2个访问密钥,有效期为永久。

新增访问密钥并下载

  • 操作步骤
  1. 管理员在IAM用户列表中,单击右侧的“安全设置”

    图1 管理IAM用户访问密钥

  2. 在“访问密钥”区域,单击“新增访问密钥”

    图2 新增访问密钥

    为了账号安全性,建议管理员定期给用户更换访问密钥。

  3. 单击“确定”,生成并下载访问密钥后,将访问密钥提供给IAM用户。
  • 执行新增访问密钥操作需要的权限
    • 账号根用户: 根用户拥有完全访问控制权限,无需额外权限配置。
    • IAM用户: IAM用户需要管理员手动附加权限,。例如,可以为IAM用户附加以下身份策略,来添加允许自己新增访问密钥的权限。 
      {
  "Version": "5.0",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:credentials:createCredentialV5",
        "iam:credentials:listCredentialsV5"
      ],
      "Resource": [
        "iam:*:*:user:{user-name}"
      ]
    }
  ]
}

      请您根据实际情况更新策略中user-name部分。

删除访问密钥

  • 操作步骤
  1. 管理员在IAM用户列表中,单击右侧的“安全设置”

    图3 管理IAM用户访问密钥

  2. 在“访问密钥”区域,单击访问密钥操作列下的“停用”

    图4 停用访问密钥

  3. 在弹出的对话框中单击“确定”后,单击访问密钥操作列下的“删除”

    图5 删除访问密钥

  4. 在弹窗中输入“DELETE”后,单击“确定”
  • 删除访问密钥需要的权限
    • 账号根用户: 根用户拥有完全访问控制权限,无需额外权限配置。
    • IAM用户: IAM用户需要管理员手动附加权限, 例如可以为IAM用户附加以下策略实现为自己删除访问密钥。 
      {
  "Version": "5.0",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:credentials:listCredentialsV5",
        "iam:credentials:deleteCredentialV5"
      ],
      "Resource": [
        "iam:*:*:user:{user-name}"
      ]
    }
  ]
}

启用、停用访问密钥

  • 新创建的访问密钥默认为启用状态,如需停用该访问密钥,步骤如下:
  1. 管理员在IAM用户列表中,单击右侧的“安全设置”

    图6 管理IAM用户访问密钥

  2. 在“访问密钥”区域,在需要停用的访问密钥右侧单击“停用”

    图7 停用访问密钥

  3. 确认停用该密钥无业务影响后,单击“确定”,停用访问密钥成功。

    启用访问密钥方式与停用类似,请参考以上步骤。

  • 启用、停用访问密钥需要的权限
    • 账号根用户: 根用户拥有完全访问控制权限,无需额外权限配置。
    • IAM用户: IAM用户需要管理员手动附加权限, 例如可以为IAM用户附加以下策略实现为自己启用、停用访问密钥。 
      {
  "Version": "5.0",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:credentials:listCredentialsV5",
        "iam:credentials:updateCredentialV5"
      ],
      "Resource": [
        "iam:*:*:user:{user-name}"
      ]
    }
  ]
}

更新IAM用户的访问密钥

本小节介绍如何在不中断应用程序的情况下更新IAM用户的访问密钥。

为了账号安全性,建议管理员定期给用户更换访问密钥。

  1. 管理员在IAM用户列表中,单击右侧的“安全设置”

    图8 管理IAM用户访问密钥

  2. 在“访问密钥”区域,单击“新增访问密钥”

    图9 新增访问密钥

  3. 单击“确认”,生成并下载访问密钥后,将访问密钥提供给IAM用户。
  4. IAM用户使用新的访问密钥更新所有的应用程序和工具等。
  5. IAM用户通过观察旧的访问密钥“最近使用时间”是否仍有更新,建议观察一周的时间。
  6. 如果旧的访问密钥“最近使用时间”已没有再更新,将旧的访问密钥进行停用。

    图10 停用旧的访问密钥

  7. 使用新的访问密钥进行运作,如发现某个应用程序和工具无法正常运作,请立即重新启用旧的访问密钥。重复步骤4~步骤7将新的访问密钥完全进行替换。
  8. 使用新的访问密钥运作一段时间,确认旧的访问密钥不再使用后,可以将旧的访问密钥进行删除。

    图11 删除旧的访问密钥

父主题: IAM用户

相关文档