Amazon Web Services 账户根用户

当您首次创建 Amazon Web Services（Amazon）账户时，您提供的电子邮件地址和密码是根用户的凭证，根用户对账户中所有 Amazon 服务和资源具有访问权限。

仅使用根用户执行需要根级别权限的任务。有关需要您以根用户身份登录的任务的完整列表，请参阅需要根用户凭证的任务。
请遵循您的 Amazon Web Services 账户的根用户最佳实践。
如果您在登录时遇到问题，请参阅登录 Amazon Web Services Management Console。

重要

在北京和宁夏区域，没有根用户的概念。所有用户都是 IAM 用户，包括创建 Amazon 账户的用户。

当您首次创建 Amazon Web Services (Amazon) 账户时，最初使用的是一个对账户中所有 Amazon 服务和资源具有完全访问权限的单点登录身份。此身份称为Amazon账户根用户，使用您创建账户时所用的电子邮件地址和密码登录，即可获得该身份。

重要

强烈建议您不要使用根用户来执行日常任务，并遵循您的 Amazon Web Services 账户的根用户的最佳实践。保护好根用户凭证，并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表，请参阅需要根用户凭证的任务。

虽然默认情况下将对根用户强制执行 MFA，但需要客户在初始账户创建期间，或根据登录时的提示进行操作才能添加 MFA。有关使用 MFA 保护根用户的更多信息，请参阅 Amazon Web Services 账户根用户的多重身份验证。

集中管理成员账户的根访问权限

为了帮助您大规模管理凭证，您可以在 Amazon Organizations 中集中保护对成员账户的根用户凭证的访问。启用 Amazon Organizations 后，您可以将所有 Amazon 账户合并到一个组织中进行集中管理。通过集中根访问，您可以移除根用户凭证，并对成员账户执行以下特权任务。

移除成员账户的根用户证书: 集中成员账户的根访问后，您可以选择从 Organizations 的成员账户中删除根用户凭证。您可以移除根用户密码、访问密钥、签名证书，并停用多重身份验证（MFA）。默认情况下，您在 Organizations 中创建的新账户不具有根用户证书。除非启用账户恢复，否则成员账户不能登录到他们的根用户或为其根用户执行密码恢复。
执行需要根用户凭证的特权任务: 有些任务只能在您以账户的根用户身份登录时执行。其中一些需要根用户凭证的任务可以由管理账户或 IAM 的委派管理员执行。要了解有关对成员账户采取特权操作的更多信息，请参阅执行特权任务。
启用根用户的账户恢复: 如果您需要恢复成员账户的根用户凭证，则 Organizations 管理账户或委派管理员可以执行允许密码恢复特权任务。有权访问成员账户的根用户电子邮件收件箱的人可以重置根用户密码，以恢复根用户证书。建议您在完成需要访问根用户的任务后删除根用户凭证。

其他资源

有关 Amazon 根用户的更多信息，请参阅以下资源：

有关根用户问题的帮助，请参阅排查根用户问题。
要在 Organizations 中集中管理根用户电子邮件地址，请参阅《Amazon Organizations 用户指南》中的 Updating the root user email address for a member account。

需要根用户凭证的任务

我们建议您在 Amazon IAM Identity Center 中配置管理用户，以用来执行日常任务和访问 Amazon 资源。不过，您只能在以账户的根用户身份登录时才能执行下列任务。

为了简化在 Amazon Organizations 中跨成员账户管理特权根用户凭证的过程，您可以启用集中根访问来帮助您集中保护对您的 Amazon Web Services 账户高权限访问。集中管理成员账户的根访问权限允许您集中删除和防止长期根用户凭证恢复，从而提高组织中的账户安全性。启用此功能后，您可以在成员账户上执行以下特权任务。

删除成员账户根用户凭证，以防止根用户的账户恢复。您还可以允许密码恢复操作，以恢复成员账户的根用户凭证。
删除一项配置错误的存储桶策略，此策略拒绝所有主体访问 Amazon S3 存储桶策略。
删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。

账户管理任务

更改您的账户设置。这包括账户名称、电子邮件地址、根用户密码和根用户访问密钥。其他账户设置（例如联系人信息、付款货币偏好和 Amazon Web Services 区域）不需要根用户凭证。
恢复 IAM 用户权限。如果唯一的 IAM 管理员意外撤消了自己的权限，您可以使用根用户身份登录来编辑策略并还原这些权限。
关闭 Amazon Web Services 账户。

有关更多信息，请参阅以下主题：

计费任务

激活 IAM 对账单和成本管理控制台的访问权限。
某些计费任务仅限于根用户。有关更多信息，请参阅《Amazon Billing 用户指南》中的管理 Amazon Web Services 账户。
查看特定税务发票。具有 aws-portal:ViewBilling 权限的 IAM 用户可以查看和下载 Amazon 欧洲的增值税发票，但不能查看和下载 Amazon Inc 或 Amazon Internet Services Private Limited（AISPL）的增值税发票。

Amazon GovCloud (US) 任务

注册 Amazon GovCloud (US)。
向 Amazon Web Services 支持请求 Amazon GovCloud (US) 账户根用户访问密钥。

Amazon EC2 任务

已在预留实例 Marketplace 中注册为卖家。

Amazon KMS 任务

如果 Amazon Key Management Service 密钥变得无法管理，则管理员可以通过联系 Amazon Web Services 支持来进行恢复；但是，Amazon Web Services 支持会通过确认票证 OTP 来响应根用户的主电话号码进行授权。

Amazon Mechanical Turk 任务

将您的 Amazon Web Services 账户关联到您的 mTurk 请求者账户。

Amazon Simple Storage Service 任务

配置 Amazon S3 存储桶以启用 MFA（多重身份验证）。
编辑或删除拒绝所有主体的 Amazon S3 存储桶策略。

您可以使用特权操作来解锁存储桶策略配置错误的 Amazon S3 存储桶。有关详细信息，请参阅在 Amazon Organizations 成员账户上执行特权任务。

Amazon Simple Queue Service 任务

编辑或删除拒绝所有主体的 Amazon SQS 基于资源的策略。

您可以使用特权操作来解锁基于资源的策略配置错误的 Amazon SQS 队列。有关详细信息，请参阅在 Amazon Organizations 成员账户上执行特权任务。