应用场景

为保障的账户及资产安全，防范访问密钥（AccessKeyId/SecretAccessKey）泄露风险，建议至少每90天完成一次密钥轮换。

前提条件

开通对象存储（经典版）Ⅰ型服务，且存在有效的访问密钥（根用户/子用户）。

具体操作

控制台轮换访问密钥

1. 登录控制台

   • 根用户登录对象存储（经典版）Ⅰ型控制台，请参考进入控制台。

   • 子用户登录对象存储（经典版）Ⅰ型控制台，请参考IAM子用户登录。

2. 查看存量访问密钥

   登录控制台后，在左侧导航栏，选择“访问控制”>“安全凭证”，进入页面后，可以查看密钥信息。

   说明

   在该页面下会展示用户当前访问密钥的使用情况，优先关注启用状态下且已经超期的，确定要轮换的密钥。

   

   图1 根用户密钥

    

   

   图2 子用户密钥

    

   说明

   如果某个子用户未启用控制台，根用户可以查看该子用户的密钥信息。选择“访问控制”>“用户管理”>“用户”>“密钥”，详细请参考查看和修改IAM用户信息。

   

   图3 通过根用户查看子用户密钥信息

    

3. 创建新的访问密钥

   在"密钥"页面，点击"创建密钥"生成访问密钥，根据弹窗提示下载密钥文件。若直接关闭而未下载，系统将二次提醒。

    

   

   图4 创建访问密钥

    

   

   图5 关闭密钥窗口提醒

    

   获取新密钥后，在业务系统中替换待轮换的访问密钥。

   注意

   单个用户默认最多拥有 2 个访问密钥。如需新建访问密钥但额度已满，请先明确保留其中一个密钥继续使用，随后将业务系统中使用的其他密钥替换为保留密钥，最后删除被替换的密钥。按此方式依次轮换所有超期访问密钥。

4. 禁用访问密钥

   在"密钥"页面，选择待禁用的访问密钥，点击“禁用”，在弹出的确认框中确认操作。确认后，该密钥将立即失效。
    

   

   图6 密钥禁用确认

    

5. 删除访问密钥

   在"密钥"页面，选择已替换的访问密钥，点击"删除"，在弹出的确认框中确认操作。确认后，该密钥将被彻底删除。
    

   

   图7 删除访问密钥

编程方式轮换访问密钥

1. 构造规范

   • 原生API方式：直接参考开发者文档，构造规范请求，详细请参考IAM API请求结构。

   • SDK方式：直接参考SDK开发者指南，构造规范请求，详细请参考SDK及开发指南。

2. 查看存量访问密钥

   在自己的编程环境中，请求列举访问密钥接口，详细请参考ListAccessKeys。

   返回结果中展示当前访问密钥的使用情况，重点关注已启用且创建时间超过 90 天的密钥，确定待轮换对象。

3. 查看最近一次访问密钥使用情况

   在自己的编程环境中，请求最近访问密钥使用接口，详细请参考GetAccessKeyLastUsed。

   在返回结果中，确认计划轮换的访问密钥最近一次成功请求的时间和服务。

4. 创建新的访问密钥

   在自己的编程环境中，请求创建访问密钥接口，详细请参考CreateAccessKey。
   请妥善保管新密钥，并在业务系统中替换上一步确定的待轮换密钥。

   注意

   单个用户默认最多拥有 2 个访问密钥。如需新建访问密钥但额度已满，请先明确保留其中一个密钥继续使用，随后将业务系统中使用的其他密钥替换为保留密钥，最后删除被替换的密钥。按此方式依次轮换所有超期访问密钥。

5. 禁用访问密钥

   在自己的编程环境中，请求更新访问密钥接口，禁用已替换的访问密钥。详细请参考UpdateAccessKey。

6. 删除访问密钥

   在自己的编程环境中，请求删除访问密钥接口，删除已替换且已禁用的访问密钥。详细请参考DeleteAccessKey。