为什么(许多)IAM永久身份比根身份更安全?

AWS文件 " recommend[s] 删除根用户访问密钥 ,和 not “,因为 " has AWS帐户根用户的访问密钥对帐户中的所有资源具有无限制的访问权限 ."

但是后来 authoritative 创建具有相应权限的IAM用户凭据,并将其放入 ~/.aws/credentials 文件 ."

这意味着我的 ~/.aws/凭证 会有我的“我” 命名配置文件 this :

[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[ses_user]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY

[s3_user]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=2Zp9UtkClwBF/je7MtGb/o8nvbh3yCEXAMPLEKEY

把这些IAM的身份留在我的 ~/.aws/凭证

这是一个小小的安慰,特别是对于访问许多AWS服务的足够大的应用程序。

为什么永久的IAM身份(在 ~/.aws/凭证 )建议作为根访问密钥的替代方案?难道不是只有临时证书才能提供显著的额外安全性吗?