# Amazon Web Services 账户根用户
<a name="id_root-user"></a>

当您首次创建 Amazon Web Services (Amazon) 账户时，最初使用的是一个对账户中所有 Amazon 服务和资源具有完全访问权限的单点登录身份。此身份称作 Amazon 账户*根用户*。您用于创建 Amazon Web Services 账户 的电子邮件地址和密码是您以根用户登录时使用的凭证。
+ 仅使用根用户执行需要根级别权限的任务。有关需要您以根用户身份登录的任务的完整列表，请参阅 [需要根用户凭证的任务](#root-user-tasks)。
+ 请遵循[您的 Amazon Web Services 账户 的根用户最佳实践](root-user-best-practices.md)。
+ 如果您在登录时遇到问题，请参阅 [Sign in to the Amazon Web Services 管理控制台](https://docs.amazonaws.cn/signin/latest/userguide/console-sign-in-tutorials.html)。

**重要**  
在北京和宁夏区域，没有根用户的概念。所有用户都是 IAM 用户，包括创建 Amazon 账户的用户。

**重要**  
强烈建议您不要使用根用户来执行日常任务，并遵循[您的 Amazon Web Services 账户 的根用户的最佳实践](root-user-best-practices.md)。保护好根用户凭证，并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表，请参阅 [需要根用户凭证的任务](#root-user-tasks)。

虽然默认情况下将对根用户强制执行 MFA，但需要客户在初始账户创建期间，或根据登录时的提示进行操作才能添加 MFA。有关使用 MFA 保护根用户的更多信息，请参阅 [Amazon Web Services 账户根用户 的多重身份验证](enable-mfa-for-root.md)。

## 集中管理成员账户的根访问权限
<a name="id_root-user-access-management"></a>

为了帮助您大规模管理凭证，您可以在 Amazon Organizations 中集中保护对成员账户的根用户凭证的访问。启用 Amazon Organizations 后，您可以将所有 Amazon 账户合并到一个组织中进行集中管理。通过集中根访问，您可以移除根用户凭证，并对成员账户执行以下特权任务。

**移除成员账户的根用户证书**  
[集中成员账户的根访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-enable-root-access.html)后，您可以选择从 Organizations 的成员账户中删除根用户凭证。您可以移除根用户密码、访问密钥、签名证书，并停用多重身份验证（MFA）。默认情况下，您在 Organizations 中创建的新账户不具有根用户证书。除非启用账户恢复，否则成员账户不能登录到他们的根用户或为其根用户执行密码恢复。

**执行需要根用户凭证的特权任务**  
有些任务只能在您以账户的根用户身份登录时执行。其中一些 [需要根用户凭证的任务](#root-user-tasks) 可以由管理账户或 IAM 的委派管理员执行。要了解有关对成员账户采取特权操作的更多信息，请参阅[执行特权任务](id_root-user-privileged-task.md)。

**启用根用户的账户恢复**  
如果您需要恢复成员账户的根用户凭证，则 Organizations 管理账户或委派管理员可以执行**允许密码恢复**特权任务。有权访问成员账户的根用户电子邮件收件箱的人可以[重置根用户密码](https://docs.amazonaws.cn/IAM/latest/UserGuide/reset-root-password.html)，以恢复根用户证书。建议您在完成需要访问根用户的任务后删除根用户凭证。

## 需要根用户凭证的任务
<a name="root-user-tasks"></a>

我们建议您[在 Amazon IAM Identity Center 中配置管理用户](https://docs.amazonaws.cn/singlesignon/latest/userguide/getting-started.html)，以用来执行日常任务和访问 Amazon 资源。不过，您只能在以账户的根用户身份登录时才能执行下列任务。

为了简化在 Amazon Organizations 中跨成员账户管理特权根用户凭证的过程，您可以启用集中根访问来帮助您集中保护对您的 Amazon Web Services 账户高权限访问。[集中管理成员账户的根访问权限](#id_root-user-access-management) 允许您集中删除和防止长期根用户凭证恢复，从而提高组织中的账户安全性。启用此功能后，您可以在成员账户上执行以下特权任务。
+ 删除成员账户根用户凭证，以防止根用户的账户恢复。您还可以允许密码恢复操作，以恢复成员账户的根用户凭证。
+ 删除一项配置错误的存储桶策略，此策略拒绝所有主体访问 Amazon S3 存储桶策略。
+ 删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。

**账户管理任务**
+ [更改 Amazon Web Services 账户 设置。](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-update-root-user.html)不属于 Amazon Organizations 的独立 Amazon Web Services 账户需要根凭证才能更新电子邮件地址、根用户密码和根用户访问密钥。其他账户设置（例如账户名称、联系人信息、备用联系人、付款货币偏好和 Amazon Web Services 区域）不需要根用户凭证。
**注意**  
启用所有功能后，Amazon Organizations 可用于从管理账户和委托管理员账户集中管理成员账户设置。管理账户和委托管理员账户中的授权 IAM 用户或 IAM 角色可以关闭成员账户，并更新根电子邮件地址、账户名称、联系人信息、备用联系人和成员账户的 Amazon Web Services 区域。
+ [关闭 Amazon Web Services 账户。](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/close-account.html)不属于 Amazon Organizations 的独立 Amazon Web Services 账户需要根凭证才能关闭账户。借助 Amazon Organizations，您可以从管理账户和委托管理员账户集中关闭成员账户。
+ [恢复 IAM 用户权限。](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage-edit.html)如果唯一的 IAM 管理员意外撤消了自己的权限，您可以使用根用户身份登录来编辑策略并还原这些权限。

**计费任务**
+ [激活 IAM 对账单和成本管理控制台的访问权限](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate)。
+ 某些计费任务仅限于根用户。有关更多信息，请参阅《Amazon Billing 用户指南》中的[管理 Amazon Web Services 账户](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/manage-account-payment.html)。
+ 查看特定税务发票。具有 [aws-portal:ViewBilling](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) 权限的 IAM 用户可以查看和下载 Amazon 欧洲的增值税发票，但不能查看和下载 Amazon Inc 或 Amazon Internet Services Private Limited（AISPL）的增值税发票。

**Amazon GovCloud (US) 任务**
+ [注册 Amazon GovCloud (US)](https://docs.amazonaws.cn/govcloud-us/latest/UserGuide/getting-started-sign-up.html)。
+ 向 Amazon Web Services 支持 请求 Amazon GovCloud (US) 账户根用户访问密钥。

**Amazon EC2 任务**
+ 已在预留实例 Marketplace 中[注册为卖家](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ri-market-general.html)。

**Amazon KMS 任务**
+ 如果 Amazon Key Management Service 密钥变得无法管理，则管理员可以通过联系 Amazon Web Services 支持 来进行恢复；但是，Amazon Web Services 支持 会通过确认票证 OTP 来响应根用户的主电话号码进行授权。

**Amazon Mechanical Turk 任务**
+  [将您的 Amazon Web Services 账户 关联到您的 mTurk 请求者账户](https://docs.amazonaws.cn/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking)。

**Amazon Simple Storage Service 任务**
+ [配置 Amazon S3 存储桶以启用 MFA（多重身份验证）](https://docs.amazonaws.cn/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)。
+ [编辑或删除拒绝所有主体的 Amazon S3 存储桶策略](https://www.amazonaws.cn/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/)。

  您可以使用特权操作来解锁存储桶策略配置错误的 Amazon S3 存储桶。有关更多信息，请参阅 [在 Amazon Organizations 成员账户上执行特权任务](id_root-user-privileged-task.md)。

**Amazon Simple Queue Service 任务**
+ [编辑或删除拒绝所有主体的 Amazon SQS 基于资源的策略](https://www.amazonaws.cn/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy)。

  您可以使用特权操作来解锁基于资源的策略配置错误的 Amazon SQS 队列。有关更多信息，请参阅 [在 Amazon Organizations 成员账户上执行特权任务](id_root-user-privileged-task.md)。

## 其他资源
<a name="id_root-user-resources"></a>

有关 Amazon 根用户的更多信息，请参阅以下资源：
+ 有关根用户问题的帮助，请参阅 [排查根用户问题](troubleshooting_root-user.md)。
+ 要在 Amazon Organizations 中集中管理根用户电子邮件地址，请参阅*《Amazon Organizations 用户指南》*中的[更新成员账户的根用户电子邮件地址](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)。

以下文章提供了有关使用根用户的更多信息。
+ [哪些最佳实践有利于保护我的 Amazon Web Services 账户以及其中的资源？](https://repost.aws/knowledge-center/security-best-practices)
+ [如何创建 EventBridge 事件规则，已在我的根用户被人使用时通知我？](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule) 
+ [监控 Amazon Web Services 账户根用户活动并发出通知](https://www.amazonaws.cn/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [监控 IAM 根用户活动](https://docs.amazonaws.cn/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)