保护账户根用户的最佳做法 - Amazon 账户管理
限制你对 root 用户执行的任务锁定您的 Amazon Web Services 账户 根用户访问密钥
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护账户根用户的最佳做法

以下是推荐的与根用户相关的最佳实践:Amazon Web Services 账户.

限制你对 root 用户执行的任务

我们强烈建议您只在两件事情中使用根用户:

锁定您的 Amazon Web Services 账户 根用户访问密钥

使用访问密钥 (访问密钥 ID 和秘密访问密钥) 以编程方式向 Amazon 提出请求。然而,我们强烈建议您不要使用Amazon Web Services 账户root 用户访问密钥。您的 Amazon Web Services 账户 根用户的访问密钥提供对所有 Amazon 服务的所有资源(包括您的账单信息)的完全访问权限。您无法减少与您的关联的权限Amazon Web Services 账户root 用户访问密钥。

在保护根用户凭证时应像对待您的信用卡号或任何其他敏感机密信息一样。以下是执行该操作的一些方式:

  • 访问密钥

    • 如果您的 Amazon Web Services 账户 根用户尚无访问密钥,除非绝对需要,否则请勿创建它。相反,请使用 root 用户来自己创建 IAM 用户有管理权限。

    • 如果您的 根用户具有访问密钥,请删除它。

    • 如果您一定要保留一个可用的话,请定期轮换(更改)访问密钥。要删除或轮换 root 用户访问密钥,请使用 root 用户登录我的安全凭证页面中的Amazon Web Services Management Console. 您可以在 Access keys 部分中管理您的访问密钥。有关轮换访问密钥的更多信息,请参阅轮换访问密钥中的IAM 用户指南.

  • 切勿与任何人共享您的 Amazon Web Services 账户 根用户密码或访问密钥。

  • 使用强密码有助于保护对Amazon Web Services Management Console. 有关管理您的信息Amazon Web Services 账户请参阅根用户密码更改根用户的密码.

  • 对您的 Amazon Web Services 账户 根用户账户启用 Amazon 多重身份验证 (MFA)。要了解更多信息,请参阅《IAM 用户指南》中的在 Amazon 中使用多重身份验证 (MFA)