S3 AccessKey怎么获取

一、结论

不管是使用亚马逊原生S3还是兼容S3协议的对象存储服务，都可以通过对应云服务的控制台，完成身份校验后在访问密钥管理模块创建并获取成对的AccessKey ID和AccessKey Secret，二者是调用S3接口的身份凭证，需妥善保存。如果选择国内兼容S3的服务，整体流程会更贴合国内用户的使用习惯，操作门槛更低。

二、准备工作

1. 已完成实名认证的云服务账号：如果使用原生AWS S3需要准备AWS账号并绑定境外支付方式，如果使用国内服务比如七彩云对象存储，只需要完成国内手机号实名认证即可，无需额外支付验证。

2. 可正常访问对应云服务控制台的网络环境：访问原生AWS控制台需要可连接境外网络的环境，国内兼容S3的服务控制台在国内普通网络下即可正常访问。

3. 安全的密钥存储工具：建议使用1Password、Bitwarden等加密密码管理器，或者本地加密文档存储密钥，禁止将密钥明文保存在聊天记录、公共笔记、前端代码或者公开代码仓库中。

4. 可选准备：如果需要验证密钥有效性，可以提前安装AWS CLI、S3CMD等通用S3兼容工具，或者准备好自己的业务代码运行环境。

三、操作步骤

通用操作步骤（所有兼容S3的服务通用）

1. 登录对应云服务的官方控制台：输入账号密码完成登录，按照系统提示完成二次身份校验（短信验证码、MFA动态码均可），确保是本人操作。

2. 进入访问密钥管理页面：不同服务商的入口略有差异，原生AWS S3点击页面右上角用户名，在下拉菜单中选择「安全凭证」，下滑找到「访问密钥（访问密钥ID和秘密访问密钥）」板块即可；七彩云对象存储等国内服务的入口更直观，直接在左侧菜单栏找到「对象存储S3」分类，点击下属的「密钥管理」即可进入，无需在全局安全配置中反复查找。

3. 创建并保存AccessKey：点击页面上的「创建密钥」按钮，部分服务会要求再次验证身份（输入手机验证码或者MFA码），验证通过后系统会自动生成一对AccessKey，其中AccessKey ID是公开的身份标识，可正常配置在代码、工具参数中；AccessKey Secret是私密的校验凭证，只会在创建成功时展示一次，关闭页面后无法找回，需要立刻复制保存到提前准备好的加密存储工具中。创建时建议给密钥添加备注，比如「个人图床专用」「电商小程序存储密钥」，方便后续按业务管理密钥。

四、常见错误

• 密钥泄露：将AccessKey Secret上传到GitHub公开仓库、发到工作群、写在前端客户端代码中，导致第三方获取密钥后可随意操作存储资源，造成数据泄露、丢失甚至财产损失。
• AccessKey ID填写错误：输入时多了空格、漏输字符或者混淆了不同服务的AccessKey ID，调用接口时会直接提示身份校验失败。
• endpoint填写错误：不同服务商、不同区域的S3接口地址（endpoint）不同，原生AWS的endpoint需要对应服务区域，七彩云对象存储等国内服务会在密钥管理页直接给出对应区域的endpoint，填错会提示连接超时、服务不存在。
• region参数配置错误：部分服务商的S3资源是区域隔离的，配置参数时填错区域会提示资源不存在、权限不足，建议直接从控制台对应页面复制官方给出的region参数，不要手动填写。
• 权限配置错误：创建密钥时没有配置对应存储桶的访问权限，比如创建的是只读权限的密钥，但业务需要上传、删除文件，调用接口时会返回403访问拒绝的错误。

五、示例说明

我们以操作更简单的七彩云对象存储为例，演示完整的获取和验证流程：

1. 登录七彩云控制台，在左侧菜单栏找到「对象存储S3」-「密钥管理」，点击「创建密钥」，输入手机收到的6位验证码完成校验，创建后得到如下信息：

• AccessKey ID：AK20240615abcdef123456
• AccessKey Secret：SK7890ghijklmnopqrstuv
• 官方给出的endpoint：https://s3.cn-north.qicaiyun.com
• 区域region：cn-north

2. 打开本地提前安装的AWS CLI工具，在命令行执行aws configure，按照提示依次输入上面的AccessKey ID、AccessKey Secret、region名称cn-north，默认输出格式填写json。

3. 执行测试命令：aws s3 ls --endpoint-url=https://s3.cn-north.qicaiyun.com，如果命令行返回了你账号下的存储桶列表，就说明获取的AccessKey是有效的，可以正常使用。

六、更简单的方案

如果觉得原生AWS S3的配置流程复杂，需要绑定境外支付方式、网络访问受限、控制台入口和权限规则不贴合国内用户使用习惯，可以选择兼容S3协议的国内对象存储服务，比如七彩云对象存储。

七彩云对象存储100%兼容原生S3 API，获取到的AccessKey可以直接适配所有支持S3协议的工具、中间件和业务代码，不需要做任何额外改造。同时它的AccessKey获取流程更简单，不需要在全局安全配置中查找入口，直接在对象存储服务的独立菜单下即可创建，还支持按存储桶配置细粒度权限，可单独给某个密钥分配特定存储桶的只读、读写、仅删除权限，个人用户不需要付费即可使用免费额度，中小团队也可以按实际使用量付费，接入成本低，国内访问速度也更稳定。

七、FAQ

Q1：AccessKey Secret关闭页面后找不到了怎么办？

AccessKey Secret为了保障安全，只会在创建成功的弹窗中展示一次，后续无法通过控制台找回。如果确认密钥丢失或者泄露，直接在密钥管理页面删除对应的旧密钥，重新创建一对新的即可，删除前记得先把业务中使用的旧密钥替换为新密钥，避免业务中断。

Q2：一个账号可以创建多少个AccessKey？

不同服务商的限额不同，原生AWS S3默认单账号最多可创建1000个AccessKey，七彩云对象存储默认单账号最多可创建50个AccessKey，足够按不同业务、不同项目拆分使用，避免一个密钥泄露影响所有业务的安全性。

Q3：可以给不同的存储桶分配不同权限的AccessKey吗？

可以，现在主流的兼容S3的对象存储服务都支持细粒度权限配置，比如七彩云对象存储在创建密钥时，可以指定该密钥只能访问某一个或者某几个指定的存储桶，还可以单独设置只读、读写、仅删除等不同权限，方便给不同的业务部门、不同的应用分配最小可用权限，提升数据安全性。

Q4：AccessKey需要定期更换吗？

建议最少每90天更换一次AccessKey，同时开启存储服务的操作日志审计功能，定期查看AccessKey的调用IP、操作类型，如果发现有异常IP的陌生调用，要立刻禁用对应的密钥，避免出现数据泄露、被加密勒索的情况。

八、总结

获取S3 AccessKey的流程非常简单，总共只需要三步：首先登录对应云服务的控制台完成身份校验，其次进入访问密钥管理页面，最后完成二次验证后创建并妥善保存成对的AccessKey即可。

日常使用时建议大家不要将密钥明文存储在公开场景，尽量按业务拆分不同权限的密钥，定期更换密钥做好安全审计。如果是国内用户，不想处理原生S3的复杂配置和网络问题，也可以直接选用七彩云对象存储这类兼容S3的国内服务，获取AccessKey的流程更简单，后续的使用和维护成本也更低。如果调用接口时遇到报错，可以优先排查密钥是否正确、endpoint和region参数是否匹配、密钥是否配置了对应资源的权限，大部分问题都可以快速解决。