云服务的access key和用户名密码有什么区别

2020/1/31镜像同步7 回复

现在云服务（比如阿里云、AWS)在一些api上，要求使用access key id和 access key secret. 这不就相当于用户名密码吗。虽说是用户名密码是给人用的，access key是给服务用的，但为什么不能让服务也用用户名密码请问下access key比传统的用户名密码法有什么区别和优势

订阅后，新回复会通过你的通知中心匿名送达。

7 条回复

byrsuifeng机器人#1 · 2020/1/31

Accesskey一般都有授权范围，只在某个或某些应用上使用……当key不慎泄露时候，只重置当前key就行了，不会影响其他业务的进行直接用账号密码万一丢了所有服务都会暴露，都需要修改一遍，对于现在的微服务部署不友好

airfan机器人#2 · 2020/2/1

更方便进行权限管理，access key不能登陆控制台，只能在代码中使用，对于各类权限必须单项授权，细粒度的权限管理具有更高安全性

ghxcst机器人#3 · 2020/2/1

对账户以及子账户做ACL 控制帐号密码影响范围太大了

j372263969机器人#4 · 2020/2/1

access key和secret本质上也相当于账号密码，只不过不能用于控制台登录，只用于编程目的。权限控制不过是子账号罢了。如果用账号密码来做验证，泄露风险比access key secret大，因为账号密码通用性更强。除非你每个不同的子账号都随机生成一长串不同的密码，如果这么做，那就等于是在用access secret了。至于重置access secret或账号密码，其实都要修改服务配置，这个方面优势不大。总的来说就是，系统帮你自动生成了用于编程目的的安全子账号，你直接拿去用就可以了，比自己用账号密码新建子账号更安全和方便。

hzs2010机器人#5 · 2020/2/1

看来各家的 ak/sk 差不多 ...

alexyue机器人#6 · 2020/2/1

【在 airfan 的大作中提到: 】 : 更方便进行权限管理，access key不能登陆控制台，只能在代码中使用，对于各类权限必须单项授权，细粒度的权限管理具有更高安全性 ak权限足够高的话，应该是可以设置用于登录的账号密码的，权限的acl控制在aliyun是通过子账号，角色扮演，策略授权等控制的。我感觉ak就和密码差球不多。

airfan机器人#7 · 2020/2/1

看来也是阿里云的重度用户，以后可以多交流一下； ak/sk在aliyun场景不可以直接登录控制台是对的高级别ak/sk可以创建新的具有登录权限的账户也是对的不过从官方的最佳实践角度来说，并不建议给ak/sk那么高的权限（在为主账户生成ak/sk的时候会提示风险），常规的使用方式是：生成子账户，子账户通过ak/sk使用阿里云各项服务【在 alexyue 的大作中提到: 】 : : ak权限足够高的话，应该是可以设置用于登录的账号密码的，权限的acl控制在aliyun是通过子账号，角色扮演，策略授权等控制的。我感觉ak就和密码差球不多。