本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
保护账户根用户的最佳做法
以下是推荐的与根用户相关的最佳实践: Amazon Web Services 账户 .
限制你对 root 用户执行的任务
我们强烈建议您仅将根用户用于两件事:
-
在中创建第一个管理员用户Amazon Identity and Access Management(IAM)。有关如何执行此操作的详细信息,请参阅创建您的第一个 IAM 用户和组中的IAM 用户指南.
-
执行那些可以执行的任务仅限根用户。有关这些任务的完整列表,请参阅。需要根用户凭证的任务.
锁定你的 Amazon Web Services 账户 root 用户访问密钥
使用访问密钥 (访问密钥 ID 和秘密访问密钥) 以编程方式向 Amazon 提出请求。但是,我们强烈建议您不要使用您的 Amazon Web Services 账户 root 用户访问密钥。您的访问密钥 Amazon Web Services 账户 根用户为所有人提供对所有资源的完全访问权限。Amazon服务,包括您的账单信息。您无法减少与您的关联的权限。 Amazon Web Services 账户 root 用户访问密钥。
您应像对待您的信用卡号或任何其他敏感机密信息一样。以下是执行该操作的一些方式:
-
访问密钥
-
如果您还没有访问密钥 Amazon Web Services 账户 除非绝对需要,否则请勿创建它。相反,请使用 root 用户来为自己创建 IAM 用户具有管理权限。
-
如果您的拥有根用户的访问密钥,请删除它。
-
如果您必须保持它可用,请定期轮换(更改)访问密钥。要删除或轮换根用户的访问密钥,请使用根用户登录到我的安全凭证页面
中的Amazon Web Services Management Console. 您可以在 Access keys 部分中管理您的访问密钥。有关轮换访问密钥的更多信息,请参阅。轮换访问密钥中的IAM 用户指南.
-
-
永远不要分享你 Amazon Web Services 账户 任何人都可使用根用户密码或访问密钥。
-
使用强密码有助于保护对Amazon Web Services Management Console. 有关管理您的信息 Amazon Web Services 账户 有根用户的密码,请参阅更改根用户的密码.
-
启用Amazon您的上的多重身份验证 (MFA) Amazon Web Services 账户 账户根用户。有关更多信息,请参阅《IAM 用户指南》中的在 Amazon 中使用多重身份验证 (MFA)。