AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

AWS 账户根用户

您可以创建、轮换、禁用或删除 AWS 账户根用户访问密钥 (访问密钥 ID 和秘密访问密钥)。还可以更改根用户密码。拥有您的 AWS 账户根用户凭证的任何人都可以无限制地访问您账户中的所有资源,包括账单信息。

当您创建访问密钥时,您会将访问密钥 ID 和秘密访问密钥创建为一个集。在创建访问密钥的过程中,AWS 仅允许您查看和下载一次访问密钥的秘密访问密钥部分。如果您未下载或丢失了访问密钥,则可删除访问密钥,然后创建新的访问密钥。您可以通过 IAM 控制台、AWS CLI 或 AWS API 创建 IAM 用户访问密钥。有关更多信息,请参阅 IAM 用户指南 中的管理 IAM 用户的访问密钥。要为您的 AWS 账户根用户创建访问密钥,您必须使用 AWS 管理控制台。

新创建的访问密钥的状态为已激活,这意味着,您可以使用访问密钥进行 CLI 和 API 调用。每个 IAM 用户限于两个访问密钥,这在您需要轮换访问密钥时很有用。您还可以为根用户分配多达两个访问密钥。在禁用访问密钥时,不能将其用于 API 调用,非活动密钥仍会计入限制。您随时可以创建或删除访问密钥。不过,当您删除访问密钥时,意味着永久删除且无法恢复。

在 AWS 账户根用户上启用 MFA

如果继续使用根用户凭证,我们建议您遵循为您的账户启用多重身份验证 (MFA) 的安全最佳实践。由于您的根用户可以在您的账户中执行敏感操作,因此添加额外一层身份验证可帮助您更好地保护您的账户。有多个 MFA 类型可用。有关启用 MFA 的更多信息,请参阅以下内容:

创建根用户的访问密钥

您可以使用 AWS 管理控制台或 AWS 编程工具来创建根用户的访问密钥。

创建 AWS 账户根用户的访问密钥(控制台)

  1. 使用您的 AWS 账户电子邮件地址和密码以 AWS 账户根用户 身份登录 AWS 管理控制台

    注意

    如果您之前已使用 IAM 用户 凭证登录控制台,则您的浏览器可能会记住此首选项,并打开您的账户特定的登录页。您不能在 IAM 用户登录页面使用 AWS 账户根用户 凭证进行登录。如果您看到 IAM 用户登录页面,请选择页面底部附近的 Sign-in using 根用户 credentials 以返回到主登录页面。在此处,您可以键入您的 AWS 账户电子邮件地址和密码。

  2. 在导航栏上选择您的账户名称,然后选择我的安全凭证

  3. 如果看到有关访问您的 AWS 账户的安全凭证的警告,选择 Continue to Security Credentials

  4. 展开 Access keys (access key ID and secret access key) 部分。

  5. 选择 Create New Access Key。如果此功能已禁用,则必须先删除现有访问密钥中的一个,然后才能创建新密钥。有关更多信息,请参阅 IAM 用户指南 中的 IAM 实体对象限制

    一个警告说明,您只有这一次机会可以查看或下载秘密访问密钥。之后无法检索。

    • 如果您选择 Show Access Key,您可以从浏览器窗口复制访问密钥 ID 和私有密钥,将其粘贴到其他位置。

    • 如果您选择 Download Key File,则会接收一个包含访问密钥 ID 和私有密钥、名为 rootkey.csv 的文件。将该文件安全保存在某个位置。

  6. 当不再需要使用访问密钥时,我们建议您删除它,或者至少通过选择 Make Inactive (转为非活跃) 将其标记为非活动,以免被误用。

创建根用户的访问密钥(AWS CLI 或 AWS API)

使用以下值之一:

删除根用户的访问密钥

您可以使用 AWS 管理控制台或多种编程工具来删除根用户的访问密钥。

删除 AWS 账户根用户的访问密钥(控制台)

  1. 使用您的 AWS 账户电子邮件地址和密码以根用户身份登录 AWS 管理控制台

    注意

    如果您之前已使用 IAM 用户 凭证登录控制台,则您的浏览器可能会记住此首选项,并打开您的账户特定的登录页。您不能在 IAM 用户登录页面上使用您的 AWS 账户根用户凭证进行登录。如果您看到 IAM 用户登录页面,请选择页面底部附近的 Sign in using root account credentials 以返回到主登录页面。在此处,您可以键入您的 AWS 账户电子邮件地址和密码。

  2. 在导航栏上选择您的账户名称,然后选择我的安全凭证

  3. 如果看到有关访问您的 AWS 账户的安全凭证的警告,选择 Continue to Security Credentials

  4. 展开 Access keys (access key ID and secret access key) 部分。

  5. 查找要删除的访问密钥,然后在 Actions 列下,选择 Delete

    注意

    您可以将访问密钥标记为非活动而不是删除它。这样,您将来可以继续使用它,无需更改密钥 ID 或私有密钥。当它为非活动状态时,任何在 AWS API 请求中使用它的尝试都会以访问被拒绝的状态失败。

删除根用户的访问密钥(AWS CLI 或 AWS API)

使用以下值之一:

更改根用户的密码

有如何更改根用户密码的更多信息,请参阅更改 AWS 账户根用户密码。要更改根用户,您必须使用根用户凭证登录。要查看需要您以根用户身份登录的任务,请参阅需要根用户的 AWS 任务