Amazon Web Services 账户 根用户凭证与 IAM 用户凭证 - Amazon 一般参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon Web Services 账户 根用户凭证与 IAM 用户凭证

Amazon 中有不同类型的用户。例如,有账户所有者(根用户)和 Amazon Identity and Access Management (IAM) 用户。当您创建 Amazon Web Services 账户 时,我们会创建账户根用户。根用户或账户的 IAM 管理员可以创建 IAM 用户。所有 Amazon 用户都具有安全凭证。

根用户凭证

账户拥有者的凭证允许完全访问账户中的所有资源。您无法使用 IAM 策略显式拒绝根用户访问资源。您只能使用 Amazon Organizations 服务控制策略(SCP)来限制根用户的权限。因此,我们建议您创建一个具有管理员权限的 IAM 用户,以用于日常 Amazon 任务并锁定根用户的凭证。

有一些特定任务仅限于 Amazon Web Services 账户 根用户。例如,只有根用户可以关闭您的账户。如果您必须执行需要根用户的任务,请使用根用户的电子邮件地址和密码登录 Amazon Web Services Management Console。有关更多信息,请参阅《Amazon Account Management 参考指南》中的需要根用户凭证的任务

注意事项
  • 请务必将以下内容保存在一个安全位置:与您的 Amazon Web Services 账户 关联的电子邮件地址、Amazon Web Services 账户 ID、根用户密码和账户访问密钥。如果您忘记或丢失了根用户密码,则必须有权访问与您的账户关联的电子邮件地址才能重置根用户密码。如果您丢失了访问密钥,则必须登录您的账户才能创建新访问密钥。

  • 强烈建议您不要使用根用户执行日常任务。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关要求您以根用户身份登录的任务的完整列表,请参阅需要根用户凭证的任务

  • 安全凭证特定于账户。如果您有权访问多个 Amazon Web Services 账户,则每个账户都必须有单独的凭证。

  • 切勿与任何人共享您的 Amazon Web Services 账户 根用户密码或访问密钥。

IAM 凭证

通过 IAM,您可以安全地控制用户对 Amazon Web Services 账户 中 Amazon Web Services 和资源的访问。例如,如果您需要管理员级别权限,则可以创建 IAM 用户,为该用户授予完全访问权限,然后使用这些凭证与Amazon交互。如果必须修改或撤销权限,您可以删除或修改与该 IAM 用户相关联的策略。

如果多个用户需要访问您的 Amazon Web Services 账户,您可以为每个用户创建唯一的凭证并定义哪些用户有权访问哪些资源。您不必共享凭证。例如,您可以创建对 Amazon Web Services 账户 中的资源具有只读访问权限的 IAM 用户,并将这些凭证分发给您的用户。

有关更多信息,请参阅《IAM 用户指南》中的 IAM 标识符