Amazon Web Services 账户根用户 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Web Services 账户根用户

当您首次创建 Amazon Web Services (Amazon) 账户时,最初使用的是一个对账户中所有 Amazon 服务和资源具有完全访问权限的单点登录身份。此身份称为 Amazon 账户根用户,使用您创建账户时所用的电子邮件地址和密码登录,即可获得该身份。

强烈建议您不使用根用户执行日常任务,即使是管理任务。作为最佳实践,请保护您的根用户凭证,不要将其用于日常任务。根用户凭证仅可用于执行少数账户和服务管理任务。

要查看需要您以根用户身份登录的任务,请参阅需要根用户凭证的 任务

重要

在北京和宁夏区域,没有根用户的概念。所有用户都是 IAM 用户,包括创建 Amazon 账户的用户。

您可以创建、轮换、禁用或删除 Amazon Web Services 账户根用户访问密钥 (访问密钥 ID 和秘密访问密钥)。还可以更改根用户密码。拥有您的 Amazon Web Services 账户 的根用户账户凭证的任何用户都可以无限制地访问账户中的所有资源,包括账单信息。

当您创建访问密钥时,您会将访问密钥 ID 和秘密访问密钥创建为一个集。在创建访问密钥的过程中,Amazon 仅允许您查看和下载一次访问密钥的秘密访问密钥部分。如果您未下载或丢失了访问密钥,则可删除访问密钥,然后创建新的访问密钥。您可以使用 IAM 控制台、Amazon CLI 或 Amazon API 创建根用户访问密钥。

新创建的访问密钥的状态为已激活,这意味着,您可以使用访问密钥进行 CLI 和 API 调用。每个 IAM 用户限于两个访问密钥,这在您需要轮换访问密钥时很有用。您还可以为根用户分配多达两个访问密钥。若您禁用了访问密钥,您就不能将其用于 API 调用。非活动的密钥仍将计入您的限制。您随时可以创建或删除访问密钥。不过,当您删除访问密钥时,意味着永久删除且无法恢复。

您可以前往 Security Credentials 页面更改电子邮件地址和密码。您还可以选择 Amazon 登录页面上的 Forgot password? 来重置您的密码。

创建或删除 Amazon Web Services 账户

有关更多信息,请参阅 Amazon 知识中心中的以下文章:

在 Amazon Web Services 账户根用户 上启用 MFA

我们建议您遵循为您的账户启用多重身份验证(MFA)的安全最佳实践。由于您的根用户可以在您的账户中执行敏感性操作,因此添加额外一层身份验证可帮助您更好地保护您的账户。有多个 MFA 类型可用。我们建议您在您的 Amazon Web Services 账户 中为 Amazon Web Services 账户根用户 和 IAM 用户启用多台 MFA 设备。这允许您提高 Amazon Web Services 账户 中的安全门槛,包括您的 Amazon Web Services 账户根用户。您最多可为 Amazon Web Services 账户根用户 和 IAM 用户注册 8 台当前支持的 MFA 类型的任意组合的 MFA 设备。

注册多台 MFA 设备后,只需一台 MFA 设备即可以该用户的身份登录 Amazon Web Services Management Console 或使用 Amazon CLI 创建会话。有关更多信息,请参阅如何使用 MFA 令牌通过 Amazon CLI 验证对我的 Amazon 资源的访问权限?

有关启用 MFA 的更多信息,请参阅以下内容:

创建根用户的访问密钥

虽然我们不建议这样做,但您也可以使用 Amazon Web Services Management Console 或 Amazon 编程工具来创建根用户的访问密钥。

创建 Amazon Web Services 账户根用户的访问密钥(控制台)
  1. 选择 Root user(根用户)并输入您的 Amazon Web Services 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台。在下一页上,输入您的密码。

    注意

    作为根用户,您无法登录到以 IAM 用户身份登录页面。如果您看到以 IAM 用户身份登录页面,请选择该页面底部附近的使用根用户电子邮件登录。要获取以根用户身份登录方面的帮助,请参阅《Amazon 登录 用户指南》中的以根用户身份登录 Amazon Web Services Management Console

  2. 在导航栏上选择您的账户名称,然后选择 Security credentials(安全凭证)。

  3. 如果看到有关访问您的 Amazon Web Services 账户 的安全凭证的警告,选择 Continue to Security credentials(继续使用安全凭证)。

  4. 查看替代方法。我们建议您不要创建根用户访问密钥。如果您选择继续创建访问密钥,请选中复选框以表明您了解这不是最佳实践,然后选择 Create access key(创建访问密钥)。

  5. Retrieve access key(检索访问密钥)页面上,选择 Show(显示)或 Download .csv file(下载 .csv 文件)。这是您保存秘密访问密钥的唯一机会。将秘密访问密钥保存在安全位置后,请选择 Done(完成)。

    如果您选择 Download .csv file(下载 .csv 文件),则会接收一个名为 rootkey.csv 的文件,其中包含访问密钥 ID 和私有密钥。将该文件安全保存在某个位置。

  6. 当不再需要使用访问密钥时,我们建议您删除它,或者至少通过依次选择 Actions(操作)和 Deactivate(停用)将其停用,以免被误用。

创建根用户的访问密钥(Amazon CLI 或 Amazon API)

使用以下值之一:

删除根用户的访问密钥

您可以使用 Amazon Web Services Management Console 删除根用户的访问密钥。

  1. 使用您的 Amazon 账户电子邮件地址和密码以身份登录 Amazon Web Services Management ConsoleAmazon Web Services 账户根用户。

    注意

    如果显示了三个文本框,则您之前已使用 IAM 用户凭证登录控制台。您的浏览器可能会记住此首选项,并在您每次尝试登录时打开此账户特定的登录页面。您无法使用 IAM 用户登录页面以账户拥有者身份进行登录。如果您看到 IAM 用户登录页面,请选择该页面底部附近的 Sign in using root user email(使用根用户电子邮件登录)。这将返回主登录页面。在该页面中,您可以使用 Amazon 账户电子邮件地址和密码以根用户登录。

  2. 在导航栏上选择您的账户名称,然后选择 Security credentials(安全凭证)。

  3. 如果看到有关访问您的 Amazon Web Services 账户 的安全凭证的警告,选择 Continue to Security credentials(继续使用安全凭证)。

  4. 在下一个屏幕上,选择 Deactivate(停用)。这将停用访问密钥。我们建议您在永久删除访问密钥之前验证该访问密钥是否已不再使用。要确认删除,请复制访问密钥 ID,将其粘贴到文本输入字段中,然后选择 Delete(删除)。

更改根用户的密码

有关如何更改根用户密码的信息,请参阅 更改 Amazon Web Services 账户 根用户密码。要更改根用户,您必须使用根用户凭证登录。有关要求您以根用户身份登录的任务的完整列表,请参阅《Amazon Account Management 参考指南》中的需要根用户凭证的任务

保护根用户的凭证

有关保护 Amazon Web Services 账户根用户 的凭证的更多信息,请参阅保护您的根用户凭证,不要将其用于日常任务

转移根用户拥有者

要转移根用户的所有权,请参阅如何将我的 Amazon Web Services 账户 转让给其他个人或企业?