目前,ACM 同时支持阿里云 AccessKey/SecretKey 和 ACM 专用 AccessKey/SecretKey。本文解释了为什么有两套身份标识,以及二者的区别。
为什么有两套身份标识系统
- 阿里云最初不支持主子账号。阿里云主账号的权限特别大,泄漏风险高,因此不推荐使用主账号的 AccessKey/SecretKey 访问其他系统。
- 阿里云账号系统主要用于用户访问控制,能承受的 QPS 较小,不建议用于数据访问控制鉴权。
二者的区别
| 身份类型 | 阿里云 AccessKey/SecretKey | ACM 专用 AccessKey/SecretKey |
|---|---|---|
| 权限 | 主账号具备所有权限。如果不对子账号授权,则子账号没有权限,授权后则具备所有权限(将来会实现子账号细粒度授权) | 可以操作一个命名空间下的数据 |
| 使用场景 | 与其他云产品联动,例如整合 KMS 做数据加密 | 兼容老用户使用场景 |
使用建议
由于阿里云目前支持子账号体系,并且接口性能大幅提升,使用 ACM 单独账号体系已无优势,因此建议您使用阿里云账号体系。