Amazon Web Services 账户根用户 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Web Services 账户根用户

当您首次创建 Amazon Web Services(Amazon)账户时,您提供的电子邮件地址和密码是根用户的凭证,根用户对账户中所有 Amazon 服务和资源具有访问权限。

重要

在北京和宁夏区域,没有根用户的概念。所有用户都是 IAM 用户,包括创建 Amazon 账户的用户。

当您首次创建 Amazon Web Services (Amazon) 账户时,最初使用的是一个对账户中所有 Amazon 服务和资源具有完全访问权限的单点登录身份。此身份称为Amazon账户根用户,使用您创建账户时所用的电子邮件地址和密码登录,即可获得该身份。

重要

强烈建议您不要使用根用户来执行日常任务,并遵循您的 Amazon Web Services 账户 的根用户的最佳实践。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表,请参阅 需要根用户凭证的任务

集中管理成员账户的根访问权限

为了帮助您大规模管理凭证,您可以在 Amazon Organizations 中集中保护对成员账户的根用户凭证的访问。启用 Amazon Organizations 后,您可以将所有 Amazon 账户合并到一个组织中进行集中管理。通过集中根访问,您可以移除根用户凭证,并对成员账户执行以下特权任务。

移除成员账户的根用户证书

集中成员账户的根访问后,您可以选择从 Organizations 的成员账户中删除根用户凭证。您可以移除根用户密码、访问密钥、签名证书,并停用和删除多重身份验证(MFA)。默认情况下,您在 Organizations 中创建的新账户不具有根用户证书。除非启用账户恢复,否则成员账户不能登录到他们的根用户或为其根用户执行密码恢复。

执行需要根用户凭证的特权任务

有些任务只能在您以账户的根用户身份登录时执行。其中一些 需要根用户凭证的任务 可以由管理账户或 IAM 的委派管理员执行。要了解有关对成员账户采取特权操作的更多信息,请参阅执行特权任务

启用根用户的账户恢复

如果您需要恢复成员账户的根用户凭证,则 Organizations 管理账户或委派管理员可以执行允许密码恢复特权任务。有权访问成员账户的根用户电子邮件收件箱的人可以重置根用户密码,以恢复根用户证书。建议您在完成需要访问根用户的任务后删除根用户凭证。

其他资源

有关 Amazon 根用户的更多信息,请参阅以下资源:

需要根用户凭证的任务

我们建议您在 Amazon IAM Identity Center 中配置管理用户,以用来执行日常任务和访问 Amazon 资源。不过,您只能在以账户的根用户身份登录时才能执行下列任务。

为了简化在 Amazon Organizations 中跨成员账户管理特权根用户凭证的过程,您可以启用集中根访问来帮助您集中保护对您的 Amazon Web Services 账户高权限访问。集中管理成员账户的根访问权限 允许您集中删除和防止长期根用户凭证恢复,从而提高组织中的账户安全性。启用此功能后,您可以在成员账户上执行以下特权任务。

  • 删除成员账户根用户凭证,以防止根用户的账户恢复。您还可以允许密码恢复操作,以恢复成员账户的根用户凭证。

  • 删除一项配置错误的存储桶策略,此策略拒绝所有主体访问 Amazon S3 存储桶策略。

  • 删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。

账户管理任务
计费任务
Amazon GovCloud (US) 任务
Amazon EC2 任务
Amazon KMS 任务
  • 如果 Amazon Key Management Service 密钥变得无法管理,则管理员可以通过联系 Amazon Web Services Support 来进行恢复;但是,Amazon Web Services Support 会通过确认票证 OTP 来响应根用户的主电话号码进行授权。

以下文章提供了有关使用根用户的更多信息。