本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
保护账户根用户的最佳做法
以下是推荐的与根用户相关的最佳实践:Amazon Web Services 账户.
限制你对 root 用户执行的任务
我们强烈建议您只在两件事情中使用根用户:
-
在中创建第一个管理员用户Amazon Identity and Access Management(IAM)。有关如何执行此操作的详细信息,请参阅创建您的第一个 IAM 用户和组中的IAM 用户指南.
-
执行那些可以执行的任务仅限根用户。有关这些任务的完整列表,请参阅需要根用户凭证的任务.
锁定您的 Amazon Web Services 账户 根用户访问密钥
使用访问密钥 (访问密钥 ID 和秘密访问密钥) 以编程方式向 Amazon 提出请求。然而,我们强烈建议您不要使用Amazon Web Services 账户root 用户访问密钥。您的 Amazon Web Services 账户 根用户的访问密钥提供对所有 Amazon 服务的所有资源(包括您的账单信息)的完全访问权限。您无法减少与您的关联的权限Amazon Web Services 账户root 用户访问密钥。
在保护根用户凭证时应像对待您的信用卡号或任何其他敏感机密信息一样。以下是执行该操作的一些方式:
-
访问密钥
-
如果您的 Amazon Web Services 账户 根用户尚无访问密钥,除非绝对需要,否则请勿创建它。相反,请使用 root 用户来自己创建 IAM 用户有管理权限。
-
如果您的 根用户具有访问密钥,请删除它。
-
如果您一定要保留一个可用的话,请定期轮换(更改)访问密钥。要删除或轮换 root 用户访问密钥,请使用 root 用户登录我的安全凭证页面
中的Amazon Web Services Management Console. 您可以在 Access keys 部分中管理您的访问密钥。有关轮换访问密钥的更多信息,请参阅轮换访问密钥中的IAM 用户指南.
-
-
切勿与任何人共享您的 Amazon Web Services 账户 根用户密码或访问密钥。
-
使用强密码有助于保护对Amazon Web Services Management Console. 有关管理您的信息Amazon Web Services 账户请参阅根用户密码更改根用户的密码.
-
对您的 Amazon Web Services 账户 根用户账户启用 Amazon 多重身份验证 (MFA)。要了解更多信息,请参阅《IAM 用户指南》中的在 Amazon 中使用多重身份验证 (MFA)。