对比Amazon Web Services 账户根用户凭证和 IAM 用户凭证 - Amazon 账户管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对比Amazon Web Services 账户根用户凭证和 IAM 用户凭证

Amazon 中有两种不同类型的用户。您是账户拥有者(根用户),或者是 Amazon Identity and Access Management(IAM)用户。创建根用户时Amazon Web Services 账户已创建。IAM 用户由根用户或账户的 IAM 管理员创建。所有 Amazon 用户都具有安全凭证。

根用户凭证

账户拥有者的凭证允许完全访问账户中的所有资源。您不能使用IAM 策略显式拒绝根用户访问资源。您只能使用Amazon Organizations 服务控制策略 (SCP)以限制成员账户的 root 用户的权限。因此,我们建议您创建一个具有管理员权限的 IAM 用户,以用于日常 Amazon 任务并锁定根用户的访问密钥。

有一些特定任务仅可由根用户执行。例如,只有根用户可以关闭您的账户。如果您需要执行需要根用户的任务,请使用根用户的电子邮件地址和密码登录 Amazon Web Services Management Console。有关更多信息,请参阅 需要根用户凭证的任务

IAM 凭证

使用 IAM,您可以安全地控制访问Amazon为您的用户提供的服务和资源Amazon Web Services 账户. 例如,如果您需要管理员级别的权限,则可以创建 IAM 用户,请授予该用户对您的账户的完全访问权限,然后使用这些凭证与交互。Amazon. 如果需要修改或撤销权限,您可以删除或修改与该 IAM 用户相关联的策略。

如果你有多个用户需要访问Amazon Web Services 账户中,请为每个用户创建唯一凭证,并定义谁可以访问哪些资源。您不需要和不应该共享凭证。例如,您可以创建对您的中的资源具有只读访问权限的 IAM 用户。Amazon Web Services 账户并将每个 IAM 用户的证书分发给您的一个用户。