保护账户根用户的最佳实践 - Amazon 账户管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护账户根用户的最佳实践

以下是与的根用户相关的推荐的推荐的与的根用户相关的最佳实践Amazon Web Services 账户。

限制您使用 root 用户执行的任务

您应该像对待您的根用户凭证一样,对待您的根用户凭证或任何其他敏感机密信息并仅将其用于需要它们的任务。以下是保护您的根用户凭证的一些方式:

  • 对您的Amazon Web Services 账户根用户启用 MAmazon ultication Authentication (MFA)。要了解更多信息,请参阅 IAM 用户指南中的在 Amazon 中使用多重身份验证 (MFA)

  • 切勿与任何人共享您的 Amazon Web Services 账户 根用户密码或访问密钥。

  • 使用强密码有助于保护对进行访问Amazon Web Services Management Console。有关管理Amazon Web Services 账户根用户密码的信息,请参阅更改根用户的密码

强烈建议您仅使用根用户执行以下任务:

  • 在Amazon IAM Identity Center (successor to Amazon Single Sign-On)(IAM 身份中心)中为日常任务创建管理用户。有关如何执行此操作的详细信息,请参阅《Amazon IAM Identity Center (successor to Amazon Single Sign-On)用户指南》中的入门

  • 执行只能由 root 用户执行的任务。有关这些任务的完整列表,请参阅需要根用户凭证的任务

请勿创建根用户的访问密钥

使用访问密钥 (访问密钥 ID 和秘密访问密钥) 以编程方式向 Amazon 提出请求。但我们强烈建议您不要创建Amazon Web Services 账户根用户访问密钥。您的 Amazon Web Services 账户 根用户的访问密钥提供对所有 Amazon 服务的所有资源(包括您的账单信息)的完全访问权限。您无法减少与您的Amazon Web Services 账户根用户访问密钥关联的权限。

  • 如果您的 Amazon Web Services 账户 根用户尚无访问密钥,除非绝对需要,否则请勿创建它。相反,使用 root 用户在中Amazon IAM Identity Center (successor to Amazon Single Sign-On)创建管理用户来执行日常管理任务。

  • 如果您的 根用户具有访问密钥,请删除它。

  • 如果必须保留可用的,请定期轮换(更改)访问密钥。要删除或轮换根用户访问密钥,请使用您的根用户登录中的 “我的安全凭证” 页Amazon Web Services Management Console。您可以在 Access keys 部分中管理您的访问密钥。有关轮换访问密钥的更多信息,请参阅 IAM 用户指南中的轮换访问密钥