AWS 账户根用户 凭证与IAM 用户凭证
所有 AWS 账户都具有 根用户 凭证(即账户所有者凭证)。这些凭证允许完全访问账户中的所有资源。在账户内不能使用策略显式拒绝对根用户的访问。只能使用 AWS Organizations 服务控制策略 (SCP) 将权限限制到账户,包括为组织或组织单元 (OU) 成员的根用户。因此,我们建议您删除根用户访问密钥,然后创建 AWS Identity and Access Management (IAM) 用户凭证用于与 AWS 的日常交互。有关更多信息,请参阅 IAM 用户指南 中的隐藏您的 AWS 账户(根)访问密钥。
注意
您可能需要 AWS 账户根用户 访问权限才能执行特定任务,如更改 AWS 支持计划或关闭账户。在这些情况下,请使用您的电子邮件地址和密码登录 AWS 管理控制台。请参阅电子邮件和密码 (根用户)。
有关需要根用户访问权限的任务的列表,请参阅需要 AWS 账户根用户凭证的 AWS 任务。
通过 IAM,您可以安全地控制用户对 AWS 账户中 AWS 服务和资源的访问。例如,如果您需要管理员级别权限,则可以创建 IAM 用户,为该用户授予完全访问权限,然后使用这些凭证与 AWS 交互。如果需要修改或撤销权限,您可以删除或修改与该 IAM 用户相关联的策略。
如果多个用户需要访问您的 AWS 账户,您可以为每个用户创建唯一的凭证并定义哪些用户有权访问哪些资源。您不必共享凭证。例如,您可以创建对 AWS 账户中的资源具有只读访问权限的 IAM 用户,并将这些凭证分配给您的用户。
注意
与 IAM 用户关联的任何活动或成本均将计入 AWS 账户所有者。