保护账户根用户的最佳实践 - Amazon 账户管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护账户根用户的最佳实践

以下是与的根用户相关的推荐的最佳实践Amazon Web Services 账户。

限制您使用 root 用户执行的任务

在保护根用户凭证时应像对待您的信用卡号或任何其他敏感机密信息一样,并且在保护根用户凭证时应像对待您的信用卡号或任何其他敏感机密信息一样,并仅使用它们执行需要这些凭证。以下是保护根用户凭证的一些方式:

  • 对您的Amazon Web Services 账户根用户启用Amazon多重身份验证 (MFA)。要了解更多信息,请参阅 IAM 用户指南中的在 Amazon 中使用多重身份验证 (MFA)

  • 切勿与任何人共享您的 Amazon Web Services 账户 根用户密码或访问密钥。

  • 使用强密码有助于保护对的访问Amazon Web Services Management Console。有关管理Amazon Web Services 账户根用户密码的信息,请参阅更改根用户密码

强烈建议您使用根用户仅执行以下任务:

  • 在Amazon IAM Identity Center (successor to Amazon Single Sign-On)(IAM 身份中心)中创建管理用户以执行日常任务。有关如何执行此操作的详细信息,请参阅《Amazon IAM Identity Center (successor to Amazon Single Sign-On)用户指南》中的 “入门”。

  • 执行那些只能由 root 用户执行的任务。有关这些任务的完整列表,请参阅需要根用户凭证的任务

请勿创建根用户的访问密钥

使用访问密钥 (访问密钥 ID 和秘密访问密钥) 以编程方式向 Amazon 提出请求。但强烈建议您不要创建Amazon Web Services 账户根用户访问密钥。您的 Amazon Web Services 账户 根用户的访问密钥提供对所有 Amazon 服务的所有资源(包括您的账单信息)的完全访问权限。您无法减少与您的Amazon Web Services 账户根用户访问密钥关联的权限。