Appearance
阿里云访问密钥配置指南
阿里云访问密钥(AccessKey)是阿里云为用户提供的一种身份凭证,用于通过 API 调用阿里云服务。本文档将指导您安全地创建和管理访问密钥,以便在 DSMall Pro 系统中使用各种阿里云服务。
基本概念
什么是 AccessKey
AccessKey 是阿里云为用户提供的一种身份凭证,包含:
- AccessKey ID:用于标识用户身份
- AccessKey Secret:用于验证用户身份的密钥
AccessKey 类型
阿里云提供两种类型的 AccessKey:
1. 主账号 AccessKey
- 创建位置:阿里云控制台 → 右上角头像 → AccessKey 管理
- 权限范围:拥有账号下所有资源的完全访问权限
- 安全风险:权限过大,一旦泄露风险极高
- 使用建议:不推荐使用,仅用于特殊场景
2. RAM 用户 AccessKey(推荐)
- 创建位置:RAM 控制台 → 用户管理
- 权限范围:仅拥有被授权的特定权限
- 安全优势:权限可控,支持最小权限原则
- 使用建议:强烈推荐使用,适合日常应用开发
为什么使用 RAM 用户
强烈建议使用 RAM 用户而不是主账号创建 AccessKey,原因如下:
- 安全性更高:主账号拥有所有权限,一旦泄露风险极大
- 权限可控:可以为不同应用分配最小必要权限
- 便于管理:可以随时禁用或删除特定用户的 AccessKey
- 审计追踪:可以查看每个 RAM 用户的操作日志
权限最小化原则
遵循"最小权限原则",只授予应用运行所需的最小权限:
- 只给必要的权限
- 定期审查权限
- 及时撤销不需要的权限
创建 AccessKey
方式一:创建主账号 AccessKey(不推荐)
⚠️ 安全警告:主账号 AccessKey 权限过大,强烈建议使用 RAM 用户 AccessKey
- 登录 阿里云控制台
- 点击右上角头像 → "AccessKey 管理"
- 点击"创建 AccessKey"
- 完成创建并保存密钥信息
方式二:创建 RAM 用户 AccessKey(推荐)
请参考以下官方文档完成 RAM 用户创建和授权:
- 创建 RAM 用户 - 详细步骤和注意事项
- 为 RAM 用户授权 - 权限配置方法
重要提醒:
- 创建时选择"编程访问"方式
- AccessKey Secret 只显示一次,请立即保存
- 遵循最小权限原则,只授予必要权限
详细操作指南:
权限配置
系统策略(简单但权限较大)
阿里云提供了一些预定义的系统策略:
| 策略名称 | 说明 | 适用场景 |
|---|---|---|
AliyunOSSFullAccess | OSS 完全访问权限 | 对象存储服务 |
AliyunDysmsFullAccess | 短信服务完全访问权限 | 短信服务 |
AliyunPayFullAccess | 支付宝完全访问权限 | 支付服务 |
AliyunECSFullAccess | ECS 完全访问权限 | 云服务器 |
安全建议
1. AccessKey 安全
- 立即保存:创建后立即保存 AccessKey Secret
- 安全存储:不要将 AccessKey 硬编码在代码中
- 定期轮换:建议每 90 天轮换一次 AccessKey
- 最小权限:只授予必要的最小权限
常见问题
Q1:AccessKey Secret 忘记了怎么办?
解决方案:
- 登录 RAM 控制台
- 找到对应的 RAM 用户
- 删除旧的 AccessKey
- 重新创建新的 AccessKey
Q2:如何查看 AccessKey 的使用情况?
解决方案:
- 在 RAM 控制台查看 AccessKey 的最后使用时间
- 使用阿里云 SDK 的日志功能
- 查看云监控中的 API 调用统计
Q3:AccessKey 泄露了怎么办?
应急处理:
- 立即登录 RAM 控制台
- 禁用或删除泄露的 AccessKey
- 检查是否有异常操作
- 创建新的 AccessKey
- 更新所有使用该 AccessKey 的应用
相关链接
最后更新:2024-01-20
维护者:DSPlatform技术团队