本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
保护账户根用户的最佳实践
以下是与的根用户相关的推荐的最佳实践Amazon Web Services 账户。
限制您使用 root 用户执行的任务
在保护根用户凭证时应像对待您的信用卡号或任何其他敏感机密信息一样,并且在保护根用户凭证时应像对待您的信用卡号或任何其他敏感机密信息一样,并仅使用它们执行需要这些凭证。以下是保护根用户凭证的一些方式:
-
对您的Amazon Web Services 账户根用户启用Amazon多重身份验证 (MFA)。要了解更多信息,请参阅 IAM 用户指南中的在 Amazon 中使用多重身份验证 (MFA)。
-
切勿与任何人共享您的 Amazon Web Services 账户 根用户密码或访问密钥。
-
使用强密码有助于保护对的访问Amazon Web Services Management Console。有关管理Amazon Web Services 账户根用户密码的信息,请参阅更改根用户密码。
强烈建议您使用根用户仅执行以下任务:
-
在Amazon IAM Identity Center (successor to Amazon Single Sign-On)(IAM 身份中心)中创建管理用户以执行日常任务。有关如何执行此操作的详细信息,请参阅《Amazon IAM Identity Center (successor to Amazon Single Sign-On)用户指南》中的 “入门”。
-
执行那些只能由 root 用户执行的任务。有关这些任务的完整列表,请参阅需要根用户凭证的任务。
请勿创建根用户的访问密钥
使用访问密钥 (访问密钥 ID 和秘密访问密钥) 以编程方式向 Amazon 提出请求。但强烈建议您不要创建Amazon Web Services 账户根用户访问密钥。您的 Amazon Web Services 账户 根用户的访问密钥提供对所有 Amazon 服务的所有资源(包括您的账单信息)的完全访问权限。您无法减少与您的Amazon Web Services 账户根用户访问密钥关联的权限。
-
如果您的 Amazon Web Services 账户 根用户尚无访问密钥,除非绝对需要,否则请勿创建它。而是使用 root 用户在中创建Amazon IAM Identity Center (successor to Amazon Single Sign-On)用于日常管理任务的管理用户。
-
如果您的 根用户具有访问密钥,请删除它。
-
如果您一定要保持一个可用,请定期轮换(更改)访问密钥。要删除或轮换根用户访问密钥,请使用您的根用户登录中的 “我的安全凭证” 页
Amazon Web Services Management Console。您可以在 Access keys 部分中管理您的访问密钥。有关轮换访问密钥,请参阅 IAM 用户指南中的轮换访问密钥。