Amazon 账户根用户 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon 账户根用户

当您首次创建亚马逊云科技(Amazon) 账户时,最初使用的是一个对账户中所有 Amazon 服务和资源具有完全访问权限的单点登录身份。此身份称作 Amazon 账户根用户。您可以使用在创建账户所用的电子邮件地址和密码以根用户身份登录。

重要

在北京和宁夏区域,没有根用户的概念。所有用户都是 IAM 用户,包括创建 Amazon 账户的用户。

您可以创建、轮换、禁用或删除 Amazon Web Services 账户 账户根用户的访问密钥 (访问密钥 ID 和秘密访问密钥)。还可以更改根用户密码。拥有您的根用户账户凭证的任何人都可以无限制地访问您 Amazon 账户中的所有资源,包括账单信息。

当您创建访问密钥时,您会将访问密钥 ID 和秘密访问密钥创建为一个集。在创建访问密钥的过程中,Amazon 仅允许您查看和下载一次访问密钥的秘密访问密钥部分。如果您未下载或丢失了访问密钥,则可删除访问密钥,然后创建新的访问密钥。您可以使用 IAM 控制台、Amazon CLI 或 Amazon API 创建根用户访问密钥。

新创建的访问密钥的状态为已激活,这意味着,您可以使用访问密钥进行 CLI 和 API 调用。每个 IAM 用户限于两个访问密钥,这在您需要轮换访问密钥时很有用。您还可以为根用户分配多达两个访问密钥。在禁用访问密钥时,不能将其用于 API 调用,非活动密钥仍会计入限制。您随时可以创建或删除访问密钥。不过,当您删除访问密钥时,意味着永久删除且无法恢复。

您可以前往 Security Credentials 页面更改电子邮件地址和密码。您还可以选择 Amazon 登录页面上的 Forgot password? 来重置您的密码。

创建或删除 Amazon 账户

有关更多信息,请参阅 Amazon 知识中心中的以下文章:

在 Amazon 账户根用户上启用 MFA

如果继续使用根用户凭证,我们建议您遵循为您的账户启用 Multi-Factor Authentication (MFA) 的安全最佳实践。由于您的根用户可以在您的账户中执行敏感性操作,因此添加额外一层身份验证可帮助您更好地保护您的账户。有多个 MFA 类型可用。有关启用 MFA 的更多信息,请参阅以下内容:

创建根用户的访问密钥

您可以使用 Amazon Web Services Management Console 或 Amazon 编程工具来创建根用户的访问密钥。

创建 Amazon Web Services 账户 根用户的访问密钥(控制台)

  1. 选择 Root user (根用户) 并输入您的 Amazon Web Services 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台。在下一页上,输入您的密码。

    注意

    如果显示了三个文本框,则您之前已使用 IAM 用户 凭证登录控制台。您的浏览器可能会记住此首选项,并在您每次尝试登录时打开此账户特定的登录页面。您无法使用 IAM 用户登录页面以账户拥有者身份进行登录。如果您看到 IAM 用户登录页面,请选择该页面底部附近的 Sign in using root user email(使用根用户电子邮件登录)。这将返回主登录页面。在该页面中,您可以使用 Amazon Web Services 账户 电子邮件地址和密码以根用户登录。

  2. 在导航栏上选择您的账户名称,然后选择我的安全凭证

  3. 如果看到有关访问您的 Amazon 账户的安全凭证的警告,选择 Continue to Security Credentials

  4. 展开 Access keys (access key ID and secret access key) 部分。

  5. 选择 Create New Access Key。如果此功能已禁用,则必须先删除现有访问密钥中的一个,然后才能创建新密钥。有关更多信息,请参阅 IAM 用户指南中的 IAM 实体对象限制

    一个警告说明,您只有这一次机会可以查看或下载秘密访问密钥。之后无法检索。

    • 如果您选择 Show Access Key,您可以从浏览器窗口复制访问密钥 ID 和私有密钥,将其粘贴到其他位置。

    • 如果您选择 Download Key File,则会接收一个包含访问密钥 ID 和私有密钥、名为 rootkey.csv 的文件。将该文件安全保存在某个位置。

  6. 当不再需要使用访问密钥时,我们建议您删除它,或者至少通过选择 Make Inactive (转为非活跃) 将其标记为非活动,以免被误用。

创建根用户的访问密钥(Amazon CLI 或 Amazon API)

使用以下值之一:

删除根用户的访问密钥

您可以使用 Amazon Web Services Management Console 删除根用户的访问密钥。

  1. 使用您的 Amazon 账户电子邮件地址和密码以 Amazon Web Services 账户 根用户身份登录 Amazon Web Services Management Console

    注意

    如果显示了三个文本框,则您之前已使用 IAM 用户 凭证登录控制台。您的浏览器可能会记住此首选项,并在您每次尝试登录时打开此账户特定的登录页面。您无法使用 IAM 用户登录页面以账户拥有者身份进行登录。如果您看到 IAM 用户登录页面,请选择该页面底部附近的 Sign in using root user email(使用根用户电子邮件登录)。这将返回主登录页面。在该页面中,您可以使用 Amazon 账户电子邮件地址和密码以根用户登录。

  2. 在导航栏上选择您的账户名称,然后选择我的安全凭证

  3. 如果看到有关访问您的 Amazon 账户的安全凭证的警告,选择 Continue to Security Credentials

  4. 展开 Access keys (access key ID and secret access key) 部分。

  5. 查找要删除的访问密钥,然后在 Actions 列下,选择 Delete

    注意

    您可以将访问密钥标记为非活动而不是删除它。这样,您将来可以继续使用它,无需更改密钥 ID 或私有密钥。当它为非活动状态时,任何在 Amazon API 请求中使用它的尝试都会以访问被拒绝的状态失败。

更改根用户的密码

有关如何更改根用户密码的信息,请参阅 更改 Amazon 账户根用户密码。要更改根用户,您必须使用根用户凭证登录。要查看需要您以根用户身份登录的任务,请参阅需要根用户的 Amazon 任务

保护根用户的凭证

有关为 Amazon Web Services 账户 根用户确保凭证的更多信息,请参阅 锁定您的 Amazon Web Services 账户 根用户访问密钥

转移根用户拥有者

要转移根用户的所有权,请参阅如何将我的 Amazon 账户转移到另一个人或企业?