# Usuario raíz de la cuenta de AWS
<a name="id_root-user"></a>

Cuando se crea por primera vez una cuenta de Amazon Web Services (AWS), se comienza con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidad recibe el nombre en la cuenta de AWS de *usuario raíz*. La dirección de correo electrónico y la contraseña que utilizó para crear su Cuenta de AWS son los credenciales que debe usar para iniciar sesión como usuario raíz.
+ Utilice el usuario raíz únicamente para realizar las tareas que requieren permisos a nivel raíz. Para obtener la lista completa de tareas que requieren que inicie sesión como usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](#root-user-tasks). 
+ Siga las [prácticas recomendadas del usuario raíz para su Cuenta de AWS](root-user-best-practices.md).
+ Si tiene problemas para iniciar sesión, consulte [Inicie sesión en la Consola de administración de AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html).

**importante**  
Se recomienda encarecidamente no utilizar el usuario raíz para las tareas cotidianas y seguir las [prácticas recomendadas para el usuario raíz para la Cuenta de AWS](root-user-best-practices.md). Proteja las credenciales del Usuario raíz y utilícelas solo para las tareas que solo el Usuario raíz pueda realizar. Para obtener la lista completa de tareas que requieren que inicie sesión como usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](#root-user-tasks). 

Si bien la MFA se aplica a los usuarios raíz de forma predeterminada, es necesario que el cliente tome medidas para agregar la MFA durante la creación inicial de la cuenta o cuando se le solicite durante el inicio de sesión. Para obtener más información sobre cómo usar la MFA para proteger al usuario raíz, consulte [Autenticación multifactor para Usuario raíz de la cuenta de AWS](enable-mfa-for-root.md).

## Administración de forma centralizada del acceso raíz a las cuentas de miembros
<a name="id_root-user-access-management"></a>

Para ayudarlo a administrar las credenciales a escala, puede proteger de forma centralizada el acceso a las credenciales de usuario raíz de las cuentas de miembros en AWS Organizations. Cuando habilita AWS Organizations, se combinan todas las cuentas de AWS de una organización para que puedan ser administradas de manera centralizada. La centralización del acceso raíz le permite eliminar credenciales de usuario raíz y realizar las siguientes tareas con privilegios en las cuentas de miembros.

**Eliminación de las credenciales de usuario raíz de las cuentas de miembros**  
Tras [centralizar el acceso raíz para las cuentas de miembros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), puede optar por eliminar las credenciales de usuario raíz de las cuentas de miembros de Organizations. Puede eliminar la contraseña del usuario raíz, las claves de acceso y los certificados de firma, así como desactivar la autenticación multifactor (MFA). Las cuentas nuevas que cree en Organizations no tienen credenciales de usuario raíz de forma predeterminada. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz a menos que la recuperación de cuentas esté habilitada.

**Realización de tareas con privilegios que requieren credenciales de usuario raíz**  
Algunas tareas se pueden realizar únicamente cuando se inicia sesión como usuario raíz de una cuenta. Algunas de las [Tareas que requieren credenciales de usuario raíz](#root-user-tasks) se pueden realizar con la cuenta de administración o el administrador delegado de IAM. Para obtener más información sobre cómo realizar acciones con privilegios en las cuentas de miembros, consulte [Realización de una tarea con privilegios](id_root-user-privileged-task.md).

**Habilitación de la recuperación de cuentas del usuario raíz**  
Si necesita recuperar las credenciales de usuario raíz de una cuenta de miembro, la cuenta de administración o el administrador delegado de Organizations pueden realizar la tarea con privilegios **Permitir la recuperación de contraseñas**. La persona con acceso a la bandeja de entrada del correo del usuario raíz de la cuenta de miembro puede [Restablecer la contraseña del usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) para recuperar las credenciales del usuario raíz. Recomendamos eliminar las credenciales del usuario raíz una vez que haya completado la tarea que requiere el acceso al usuario raíz.

# Centralización del acceso raíz para las cuentas de miembros
<a name="id_root-enable-root-access"></a>

Las credenciales de usuario raíz son las credenciales iniciales que se asignan a cada una de las Cuenta de AWS que tienen acceso completo a todos los servicios y recursos de AWS de la cuenta. Cuando habilita AWS Organizations, se combinan todas las cuentas de AWS de una organización para que puedan ser administradas de manera centralizada. Cada cuenta de miembro tiene su propio usuario raíz con permisos predeterminados para realizar cualquier acción en la cuenta de miembro. Le recomendamos que proteja de forma centralizada las credenciales de usuario raíz de las Cuentas de AWS administradas con AWS Organizations para evitar la recuperación de las credenciales de usuario raíz y el acceso a gran escala.

Tras centralizar el acceso raíz, puede optar por eliminar las credenciales de usuario raíz de las cuentas de miembros de su organización. Puede eliminar la contraseña del usuario raíz, las claves de acceso y los certificados de firma, así como desactivar la autenticación multifactor (MFA). Las cuentas nuevas que cree en AWS Organizations no tienen credenciales de usuario raíz de forma predeterminada. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz.

**nota**  
Si bien algunas [Tareas que requieren credenciales de usuario raíz](id_root-user.md#root-user-tasks) se pueden realizar mediante la cuenta de administración o el administrador delegado de IAM, otros tareas únicamente se pueden realizar cuando se inicia sesión como usuario raíz de una cuenta.  
Si necesita recuperar las credenciales de usuario raíz de una cuenta de miembro para llevar a cabo una de estas tareas, siga los pasos que se indican en [Realización de una tarea con privilegios](id_root-user-privileged-task.md) y seleccione **Permitir la recuperación de contraseñas**. La persona que tenga acceso a la bandeja de entrada del correo del usuario raíz de la cuenta de miembro podrá entonces seguir los pasos para [restablecer la contraseña del usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) e iniciar sesión con el usuario raíz de la cuenta de miembro.  
 Recomendamos eliminar las credenciales del usuario raíz una vez que haya completado la tarea que requiere el acceso al usuario raíz.

## Requisitos previos
<a name="enable-root-access-management_prerequisite"></a>

Antes de centralizar el acceso raíz, debe tener una cuenta configurada con los siguientes ajustes:
+ Debe tener los siguientes permisos de IAM:
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountSummary`
  + `iam:GetLoginProfile`
  + `iam:GetUser`
  + `iam:ListAccessKeys`
  + `iam:ListMFADevices`
  + `iam:ListSigningCertificates`
  + `sts:AssumeRoot`
**nota**  
Use la política [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) administrada por AWS para reducir los permisos cuando realice una tarea con privilegios en una cuenta de miembro de AWS Organizations o usar cualquier política con acceso a `iam:GetAccountSummary`, para auditar el estado de las credenciales de usuario raíz de una cuenta de miembro.  
Para generar el informe de información de credenciales del usuario raíz, otras políticas solo necesitan la acción `iam:GetAccountSummary` para producir el mismo resultado. También puede enumerar u obtener información sobre las credenciales de los usuarios raíz individuales, lo que incluye:  
Si hay una contraseña de usuario raíz presente
Si hay clave de acceso del usuario raíz presente y cuándo se utilizó por última vez
Si el usuario raíz tiene certificados de firma asociados
Dispositivos de MFA asociados al usuario raíz
Lista del estado de las credenciales del usuario raíz consolidado
+ Debe administrar sus Cuentas de AWS en [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html).
+ Debe contar con los siguientes permisos para habilitar esta característica en la organización:
  + `iam:EnableOrganizationsRootCredentialsManagement`
  + `iam:EnableOrganizationsRootSessions`
  + `iam:ListOrganizationsFeatures`
  + `organizations:EnableAwsServiceAccess`
  + `organizations:ListAccountsForParent`
  + `organizations:RegisterDelegatedAdministrator` 
+ Para garantizar una funcionalidad óptima de la consola, recomendamos habilitar los siguientes permisos adicionales:
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAWSServiceAccessForOrganization`
  + `organizations:ListDelegatedAdministrators`
  + `organizations:ListOrganizationalUnitsForParent`
  + `organizations:ListParents`
  + `organizations:ListTagsForResource`

## Habilitación del acceso raíz centralizado (consola)
<a name="enable-root-access-console"></a>

**Habilitación de esta característica en las cuentas de miembros en la Consola de administración de AWS**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola, elija **Administrar acceso raíz** y, a continuación, elija **Habilitar**.
**nota**  
Si ve que la **Administración del acceso raíz está deshabilitada**, habilite el acceso de confianza para AWS Identity and Access Management en AWS Organizations. Para obtener más información, consulte la sección [AWS IAM y AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html) en la *Guía del usuario de AWS Organizations*.

1. En la sección Capacidades para habilitar, elija qué características desea habilitar.
   + Seleccione **Administración de credenciales raíz** para permitir que la cuenta de administración y el administrador delegado de IAM eliminen las credenciales de usuario raíz de las cuentas de miembros. Debe habilitar las Acciones raíz con privilegios en las cuentas de miembros para permitir que las cuentas de miembros recuperen sus credenciales de usuario raíz una vez eliminadas.
   + Seleccione **Acciones raíz con privilegios en las cuentas de miembros** para permitir que la cuenta de administración y el administrador delegado de IAM realicen determinadas tareas que requieren credenciales de usuario raíz.

1. (Opcional) Introduzca el ID de cuenta del **Administrador delegado** que está autorizado a administrar el acceso de usuario raíz y a tomar medidas privilegiadas en las cuentas de los miembros. Recomendamos utilizar una cuenta destinada exclusivamente a la seguridad o administración.

1. Seleccione **Habilitar**.

## Habilitación del acceso raíz centralizado (AWS CLI)
<a name="enable-root-access-cli"></a>

**Habilitación del acceso raíz centralizado desde AWS Command Line Interface (AWS CLI)**

1. Si aún no ha habilitado el acceso de confianza para AWS Identity and Access Management en AWS Organizations, utilice el siguiente comando: [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html).

1. Utilice el siguiente comando para permitir que la cuenta de administración y el administrador delegado eliminen las credenciales de usuario raíz de las cuentas de miembros: [aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html).

1. Utilice el siguiente comando para permitir que la cuenta de administración y el administrador delegado realicen determinadas tareas que requieren credenciales de usuario raíz: [aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html).

1. (Opcional) Utilice el siguiente comando para registrar un administrador delegado: [aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html).

   En el siguiente ejemplo, se asigna la cuenta 111111111111 como administradora delegada del servicio de IAM.

   ```
   aws organizations register-delegated-administrator 
   --service-principal iam.amazonaws.com
   --account-id 111111111111
   ```

## Habilitación del acceso raíz centralizado (API de AWS)
<a name="enable-root-access-api"></a>

**Habilitación del acceso raíz centralizado desde la API de AWS**

1. Si aún no ha habilitado el acceso de confianza para AWS Identity and Access Management en AWS Organizations, utilice el siguiente comando: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).

1. Utilice el siguiente comando para permitir que la cuenta de administración y el administrador delegado eliminen las credenciales de usuario raíz de las cuentas de miembros: [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html).

1. Utilice el siguiente comando para permitir que la cuenta de administración y el administrador delegado realicen determinadas tareas que requieren credenciales de usuario raíz: [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html).

1. (Opcional) Utilice el siguiente comando para registrar un administrador delegado: [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html).

## Siguientes pasos
<a name="enable-root-access_next-steps"></a>

Una vez que haya protegido de forma centralizada las credenciales con privilegios de las cuentas de miembros de su organización, consulte [Realización de una tarea con privilegios](id_root-user-privileged-task.md) para tomar medidas con privilegios en una cuenta de miembro.

# Realización de tarea con privilegios en la cuenta de miembro de AWS Organizations
<a name="id_root-user-privileged-task"></a>

La cuenta de administración de AWS Organizations o la cuenta de administrador delegado de IAM puede ejecutar ciertas tareas con privilegios en las cuentas de miembros que normalmente requerirían credenciales de usuario raíz. Con el acceso raíz centralizado, estas tareas se ejecutan mediante sesiones con privilegios de corta duración. Estas sesiones ofrecen credenciales temporales destinadas a acciones con privilegios específicos, sin que sea necesario que el usuario raíz inicie sesión en la cuenta de miembro.

Una vez que inicie una sesión con privilegios, podrá eliminar políticas de bucket de Amazon S3 o políticas de colas de Amazon SQS mal configuradas, y eliminar y rehabilitar las credenciales de usuario raíz de una cuenta de miembro.

**nota**  
Para utilizar el acceso raíz centralizado, debe iniciar sesión a través de una cuenta de administración o una cuenta de administrador delegado como un usuario o rol de IAM con el permiso `sts:AssumeRoot` otorgado de manera explícita. No puede usar credenciales de usuario raíz para llamar a `sts:AssumeRoot`.

## Requisitos previos
<a name="root-user-privileged-task_prerequisite"></a>

Antes de iniciar una sesión con privilegios, debe tener las siguientes configuraciones:
+ Ha habilitado el acceso raíz centralizado en su organización. Para ver los pasos necesarios para habilitar esta característica, consulte [Centralización del acceso raíz para las cuentas de miembros](id_root-enable-root-access.md).
+ Su cuenta de administración o cuenta de administrador delegado tiene los siguientes permisos: `sts:AssumeRoot`

## Realización de una acción con privilegios en una cuenta de miembro (consola)
<a name="root-user-privileged-task_action-console"></a>

**Inicialización de una sesión para realizar una acción con privilegios en una cuenta de miembro en la Consola de administración de AWS**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola de, elija **Administración de acceso raíz**.

1. Seleccione un nombre de la lista de cuentas de miembros y elija **Realizar una acción con privilegios**.

1. Elija la acción con privilegios que desea realizar en la cuenta de miembro.
   + Seleccione **Eliminar política de bucket de Amazon S3** para eliminar una política de bucket mal configurada que impida a todas las entidades principales acceder al bucket de Amazon S3.

     1. Elija **Explorar S3** para seleccionar un nombre de los buckets que pertenecen a la cuenta de miembro y, a continuación, seleccione **Elegir**.

     1. Elija **Eliminar política de bucket**.

     1. Use la consola de Amazon S3 para corregir la política de bucket después de eliminar la política mal configurada. Para obtener más información, consulte [Agregar una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) en la *Guía del usuario de Amazon S3*.
   + Seleccione **Eliminar política de Amazon SQS** para eliminar una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.

     1. Introduzca el nombre de la cola en **Nombre de la cola de SQS** y seleccione **Eliminar política de SQS.**

     1. Use la consola de Amazon SQS para corregir la política de cola después de eliminar la política mal configurada. Para obtener más información, consulte [Configuring an access policy in Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html) en la *Guía para desarrolladores de Amazon SQS*.
   + Seleccione **Eliminar credenciales raíz** para eliminar el acceso raíz de la cuenta de miembro. Al eliminar las credenciales del usuario raíz, se eliminan la contraseña del usuario raíz, las claves de acceso y los certificados de firma y se desactiva la autenticación multifactor (MFA) de la cuenta miembro.

     1. Seleccione **Eliminar las credenciales raíz**.
   + Seleccione **Permitir la recuperación de contraseñas** para recuperar las credenciales del usuario raíz de una cuenta de miembro.

     Esta opción solo está disponible cuando la cuenta de miembro no tiene credenciales de usuario raíz.

     1. Seleccione **Permitir la recuperación de contraseñas**.

     1. Tras realizar esta acción con privilegios, la persona que tenga acceso a la bandeja de entrada del correo del usuario raíz de la cuenta de miembro podrá [restablecer la contraseña del usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) e iniciar sesión con el usuario raíz de la cuenta de miembro.

## Realización de una acción con privilegios en una cuenta de miembro (AWS CLI)
<a name="root-user-privileged-task_action-cli"></a>

**Inicialización de una sesión para realizar una acción con privilegios en una cuenta de miembro con la AWS Command Line Interface**

1. Utilice el siguiente comando para iniciar una sesión de usuario raíz: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html).
**nota**  
El punto de conexión global no es compatible para `sts:AssumeRoot`. Debe enviar esta solicitud a un punto de conexión regional de AWS STS. Para obtener más información, consulte [Administración de AWS STS en una Región de AWS](id_credentials_temp_enable-regions.md).

   Al iniciar una sesión de usuario raíz con privilegios para una cuenta de miembro, debe definir `task-policy-arn` para utilizar la sesión para realizar la acción con privilegios que se llevará a cabo durante la sesión. Puede usar una de las siguientes políticas administradas de AWS para determinar las acciones de sesión con privilegios.
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   Para limitar las acciones que una cuenta de administración o un administrador delegado pueden realizar durante una sesión de usuario raíz con privilegios, puede usar la clave de condición AWS STS [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn).

    *En el siguiente ejemplo, el administrador delegado inicia sesión de usuario raíz para eliminar las credenciales de usuario raíz de la cuenta de miembro con el ID 111122223333*. 

   ```
   aws sts assume-root \
     --target-principal 111122223333 \
     --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
     --duration-seconds 900
   ```

1. Utilice el `SessionToken`, el `AccessKeyId` y la `SecretAccessKey` de la respuesta para realizar acciones con privilegios en la cuenta de miembro. Si omite el nombre de usuario y la contraseña en la solicitud, se utilizará la cuenta de miembro de manera predeterminada.
   + **Compruebe el estado de las credenciales del usuario raíz**. Utilice los siguientes comandos para comprobar el estado de las credenciales de usuario raíz de una cuenta de miembro.
     + [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
     + [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
     + [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
     + [get-access-key-last-used](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
   + **Eliminar credenciales de usuario raíz**. Utilice los siguientes comandos para eliminar el acceso raíz. Puede eliminar la contraseña del usuario raíz, las claves de acceso y los certificados de firma, así como desactivar la autenticación multifactor (MFA) para eliminar totalmente el acceso y la recuperación del usuario raíz.
     + [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
     + [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
     + [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
     + [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
   + **Eliminar política de bucket de Amazon S3**. Utilice los siguientes comandos para leer, editar y eliminar una política de bucket mal configurada que impida a todas las entidades principales acceder al bucket de Amazon S3.
     + [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
     + [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
     + [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
     + [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
   + **Eliminar política de Amazon SQS**. Utilice los siguientes comandos para ver y eliminar una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.
     + [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
     + [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
     + [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
     + [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
   + **Permitir la recuperación de contraseñas**. Utilice los siguientes comandos para ver el nombre de usuario y recuperar las credenciales del usuario raíz de una cuenta de miembro.
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)

## Realización de una acción con privilegios en una cuenta de miembro (API de AWS)
<a name="root-user-privileged-task_action-api"></a>

**Inicialización de una sesión para realizar una acción con privilegios en una cuenta de miembro con la API de AWS**

1. Utilice el siguiente comando para iniciar una sesión de usuario raíz: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html).
**nota**  
El punto de conexión global no es compatible con AssumeRoot. Debe enviar esta solicitud a un punto de conexión regional de AWS STS. Para obtener más información, consulte [Administración de AWS STS en una Región de AWS](id_credentials_temp_enable-regions.md).

   Al iniciar una sesión de usuario raíz con privilegios para una cuenta de miembro, debe definir `TaskPolicyArn` para utilizar la sesión para realizar la acción con privilegios que se llevará a cabo durante la sesión. Puede usar una de las siguientes políticas administradas de AWS para determinar las acciones de sesión con privilegios.
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   Para limitar las acciones que una cuenta de administración o un administrador delegado pueden realizar durante una sesión de usuario raíz con privilegios, puede usar la clave de condición AWS STS [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn).

   En el siguiente ejemplo, el administrador delegado inicia una sesión de usuario raíz para leer, editar y eliminar una política basada en recursos mal configurada para un bucket de Amazon S3 de la cuenta de miembro con el ID *111122223333*.

   ```
   https://sts.us-east-2.amazonaws.com/
     ?Version=2011-06-15
     &Action=AssumeRoot
     &TargetPrincipal=111122223333
     &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
     &DurationSeconds 900
   ```

1. Utilice el `SessionToken`, el `AccessKeyId` y la `SecretAccessKey` de la respuesta para realizar acciones con privilegios en la cuenta de miembro. Si omite el nombre de usuario y la contraseña en la solicitud, se utilizará la cuenta de miembro de manera predeterminada.
   + **Compruebe el estado de las credenciales del usuario raíz**. Utilice los siguientes comandos para comprobar el estado de las credenciales de usuario raíz de una cuenta de miembro.
     + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
     + [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
     + [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
     + [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
   + **Eliminar credenciales de usuario raíz**. Utilice los siguientes comandos para eliminar el acceso raíz. Puede eliminar la contraseña del usuario raíz, las claves de acceso y los certificados de firma, así como desactivar la autenticación multifactor (MFA) para eliminar totalmente el acceso y la recuperación del usuario raíz.
     + [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
     + [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
     + [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
     + [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
   + **Eliminar política de bucket de Amazon S3**. Utilice los siguientes comandos para leer, editar y eliminar una política de bucket mal configurada que impida a todas las entidades principales acceder al bucket de Amazon S3.
     + [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
     + [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
     + [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
     + [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
   + **Eliminar política de Amazon SQS**. Utilice los siguientes comandos para ver y eliminar una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.
     + [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
     + [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
     + [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
     + [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
   + **Permitir la recuperación de contraseñas**. Utilice los siguientes comandos para ver el nombre de usuario y recuperar las credenciales del usuario raíz de una cuenta de miembro.
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

# Autenticación multifactor para Usuario raíz de la cuenta de AWS
<a name="enable-mfa-for-root"></a>

**importante**  
AWS recomienda, en lo posible, que se utilice una clave de paso o de seguridad para la MFA en AWS, ya que son más resistentes a ataques como el phishing. Para obtener más información, consulte [Claves de acceso y claves de seguridad](#passkeys-security-keys-for-root).

La autenticación multifactor (MFA) es un mecanismo simple y eficaz para mejorar la seguridad. El primer factor, su contraseña, es un secreto que debe memorizar, también conocido como factor de conocimiento. Otros factores pueden ser factores de posesión (algo que posea, como una clave de seguridad) o factores inherentes (algo que sea suyo y solo suyo, como un escaneo biométrico). Para más seguridad, le recomendamos encarecidamente que configure la autenticación multifactor (MFA) para ayudar a proteger sus recursos de AWS.

**nota**  
Todos los tipos de Cuenta de AWS (cuentas independientes, cuentas de administración y cuentas de miembros) requieren que la MFA esté configurada para su usuario raíz. Los usuarios deben registrar la MFA en un plazo de 35 días a partir de su primer intento de inicio de sesión para acceder a la Consola de administración de AWS si la MFA aún no está habilitada.

Puede habilitar MFA para el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Cuando habilita la MFA para el usuario raíz, esto solo afecta a las credenciales del usuario raíz. Para obtener más información sobre cómo habilitar MFA para los usuarios de IAM, consulte [Autenticación multifactor de AWS en IAM](id_credentials_mfa.md).

**nota**  
Las Cuentas de AWS administradas con AWS Organizations pueden tener la opción de [administrar de forma centralizada el acceso raíz](id_root-user.md#id_root-user-access-management) de las cuentas miembro para prevenir la recuperación de credenciales y el acceso a escala. Si esta opción está habilitada, puede eliminar las credenciales del usuario raíz de las cuentas miembro, incluidas las contraseñas y la MFA, lo que previene de manera efectiva el inicio de sesión como usuario raíz, la recuperación de la contraseña o la configuración de la MFA. Como alternativa, si prefiere mantener métodos de inicio de sesión basados en contraseñas, registre la MFA para mejorar la protección de la cuenta.

Antes de habilitar la MFA para su usuario raíz, revise y [actualice la configuración de la cuenta y la información de contacto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) para asegurarse de que tiene acceso al correo electrónico y al número de teléfono. Si su dispositivo MFA se pierde, se lo roban o no funciona, puede iniciar sesión como usuario raíz mediante la verificación de su identidad con ese correo electrónico y número de teléfono. Para obtener más información acerca de cómo iniciar sesión con factores de autenticación alternativos, consulte [Recuperación de una identidad protegida por MFA en IAM](id_credentials_mfa_lost-or-broken.md). Para deshabilitar esta característica, póngase en contacto con [AWS Support](https://console.aws.amazon.com/support/home#/). 

AWS admite los siguientes tipos de MFA para el usuario raíz:
+ [Claves de acceso y claves de seguridad](#passkeys-security-keys-for-root)
+ [Aplicaciones de autenticador virtual](#virtual-auth-apps-for-root)
+ [Tokens TOTP físicos](#hardware-totp-token-for-root)

## Claves de acceso y claves de seguridad
<a name="passkeys-security-keys-for-root"></a>

AWS Identity and Access Management admite claves de acceso y claves de seguridad para MFA. Según los estándares FIDO, las claves de acceso utilizan la criptografía de clave pública para proporcionar una autenticación sólida y resistente a la suplantación de identidad que es más segura que las contraseñas. AWS admite dos tipos de claves de acceso: claves de acceso vinculadas al dispositivo (claves de seguridad) y claves de acceso sincronizadas.
+ **Claves de seguridad**: son dispositivos físicos, como una YubiKey, que se utilizan como segundo factor de autenticación. Una sola clave de seguridad puede admitir varias cuentas de usuario raíz y usuarios de IAM. 
+ **Claves de acceso sincronizadas**: utilizan administradores de credenciales de proveedores como Google, Apple, cuentas de Microsoft y servicios de terceros como 1Password, Dashlane y Bitwarden como segundo factor.

Puede utilizar autenticadores biométricos integrados, como Touch ID en los MacBooks de Apple, para desbloquear el administrador de credenciales e iniciar sesión en AWS. Las claves de acceso se crean con el proveedor que elija mediante su huella digital, su rostro o el PIN del dispositivo. También puede utilizar una clave de acceso de autenticación entre dispositivos (CDA) de un dispositivo, como un dispositivo móvil o una clave de seguridad de hardware, para iniciar sesión en otro dispositivo, como una computadora portátil. Para obtener más información, consulte [cross-device authentication](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).

Puede sincronizar las claves de acceso entre sus dispositivos para facilitar el inicio de sesión con AWS y mejorar la usabilidad y la capacidad de recuperación. Para obtener más información acerca de la habilitación de las claves de acceso y las claves de seguridad, consulte [Habilitación de una clave de acceso o clave de seguridad para el usuario raíz (consola)](enable-fido-mfa-for-root.md).

FIDO Alliance mantiene una lista de todos los [productos certificados por FIDO](https://fidoalliance.org/certification/fido-certified-products/) que son compatibles con las especificaciones de FIDO.

## Aplicaciones de autenticador virtual
<a name="virtual-auth-apps-for-root"></a>

Una aplicación de autenticador virtual se ejecuta en un teléfono u otro dispositivo y emula un dispositivo físico. Las aplicaciones de autenticación virtual aplican el algoritmo de [contraseña temporal de un solo uso](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP) y admiten varios tokens en un mismo dispositivo. El usuario debe escribir un código válido del dispositivo cuando se le solicite durante el proceso de inicio de sesión. Cada token asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el token de otro usuario para la autenticación.

Recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de compra de hardware o mientras espera a que llegue su hardware. Para ver una lista de algunas aplicaciones compatibles que puede utilizar como dispositivos de MFA virtuales, consulte [Autenticación multifactor (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Para obtener instrucciones acerca de cómo configurar un dispositivo MFA virtual con AWS, consulte [Habilitación de un dispositivo MFA virtual para el usuario raíz (consola)](enable-virt-mfa-for-root.md).

## Tokens TOTP físicos
<a name="hardware-totp-token-for-root"></a>

Un dispositivo de hardware genera un código numérico de seis dígitos basado en el [algoritmo de contraseña temporal de un solo uso (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238). El usuario debe escribir un código válido del dispositivo en otra página web durante el inicio de sesión. Cada dispositivo MFA asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el dispositivo de otro usuario para la autenticación. Para obtener más información sobre los dispositivos MFA físicos admitidos, consulte [Autenticación multifactor (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Para obtener instrucciones sobre cómo configurar un token TOTP de hardware con AWS, consulte [Habilitación de un token TOTP de hardware para el usuario raíz de la (consola)](enable-hw-mfa-for-root.md).

Si desea usar un dispositivo MFA físico, le recomendamos que utilice las claves de seguridad FIDO como una alternativa a los dispositivos TOTP físicos. Las claves de seguridad FIDO tienen la ventaja de que no necesitan baterías, son resistentes a la suplantación de identidad y son compatibles con varios usuarios raíz o de IAM en un solo dispositivo, lo que mejora la seguridad.

**Topics**
+ [Claves de acceso y claves de seguridad](#passkeys-security-keys-for-root)
+ [Aplicaciones de autenticador virtual](#virtual-auth-apps-for-root)
+ [Tokens TOTP físicos](#hardware-totp-token-for-root)
+ [Habilitación de una clave de acceso o clave de seguridad para el usuario raíz (consola)](enable-fido-mfa-for-root.md)
+ [Habilitación de un dispositivo MFA virtual para el usuario raíz (consola)](enable-virt-mfa-for-root.md)
+ [Habilitación de un token TOTP de hardware para el usuario raíz de la (consola)](enable-hw-mfa-for-root.md)

# Habilitación de una clave de acceso o clave de seguridad para el usuario raíz (consola)
<a name="enable-fido-mfa-for-root"></a>

Puede configurar y habilitar una clave de acceso para el usuario raíz únicamente desde la Consola de administración de AWS, no desde la AWS CLI ni desde la API de AWS. <a name="enable_fido_root"></a>

**Cómo habilitar una clave de acceso o clave de seguridad para su usuario raíz (consola)**

1. Abra la [Consola de administración de AWS](https://console.aws.amazon.com/) e inicie sesión con sus credenciales de usuario raíz.

   Para obtener instrucciones, consulte [Iniciar sesión en la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la parte derecha de la barra de navegación, elija su nombre de cuenta y, a continuación, **Credenciales de seguridad**.  
![\[Credenciales de seguridad en el menú de navegación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. En la página **Mis credenciales de seguridad** del usuario raíz, en **Autenticación multifactor (MFA**), elija **Asignar dispositivo de MFA**.

1. En la página de **nombres del dispositivo de MFA**, introduzca un **Nombre de dispositivo**, elija **Clave de acceso o Clave de seguridad** y, a continuación, elija **Siguiente.**

1. En **Configurar dispositivo**, configure su clave de acceso. Cree una clave de acceso con datos biométricos, como su rostro o huella digital, con el PIN del dispositivo o al insertar la clave de seguridad FIDO en el puerto USB de la computadora y al pulsarla.

1. Siga las instrucciones del navegador para elegir un proveedor de claves de acceso o dónde quiere guardarlas para utilizarlas en todos sus dispositivos. 

1. Elija **Continuar**.

Ya ha registrado su clave de acceso para usarla con AWS. La próxima vez que utilice sus credenciales de usuario raíz para iniciar sesión, deberá realizar la autenticación con su clave de seguridad para completar el proceso de inicio de sesión.

Para obtener ayuda sobre cómo solucionar problemas con su llave de seguridad FIDO, consulte [Solucionar problemas con claves de acceso y claves de seguridad FIDO](troubleshoot_mfa-fido.md).

# Habilitación de un dispositivo MFA virtual para el usuario raíz (consola)
<a name="enable-virt-mfa-for-root"></a>

Puede utilizar Consola de administración de AWS para configurar y habilitar un dispositivo MFA virtual para su usuario raíz. Para habilitar dispositivos MFA para la Cuenta de AWS, debe haber iniciado sesión en AWS con las credenciales de usuario raíz. 

**Para configurar y habilitar un dispositivo MFA virtual para utilizarlo con su usuario raíz (consola)**

1. Abra la [Consola de administración de AWS](https://console.aws.amazon.com/) e inicie sesión con sus credenciales de usuario raíz.

   Para obtener instrucciones, consulte [Iniciar sesión en la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la parte derecha de la barra de navegación, elija su nombre de cuenta y seleccione **Security Credentials** (Credenciales de seguridad).  
![\[Credenciales de seguridad en el menú de navegación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. En la sección **Multi-Factor Authentication (MFA)** (Autenticación multifactor [MFA]), elija **Assign MFA device** (Asignar dispositivo MFA).

1. En el asistente, escriba un **Nombre de dispositivo**, elija **Aplicación del autenticador** y luego, **Siguiente**.

   IAM generará y mostrará la información de configuración del dispositivo MFA virtual, incluido un gráfico de código QR. El gráfico es una representación de la clave de configuración secreta que se puede introducir manualmente en dispositivos que no admiten códigos QR.

1. Abra la aplicación de MFA virtual en el dispositivo. 

   Si la aplicación de MFA virtual admite varios dispositivos o cuentas de MFA, elija la opción para crear un nuevo dispositivo o cuenta de MFA virtual.

1. La forma más sencilla de configurar la aplicación consiste en utilizar la aplicación para escanear el código QR. Si no puede analizar el código, puede escribir la información de configuración manualmente. El código QR y la clave de configuración secreta generada por IAM están vinculados a su Cuenta de AWS y no se pueden utilizar con otra cuenta. Sin embargo, se pueden volver a utilizar para configurar un dispositivo MFA nuevo para su cuenta en caso de que pierda el acceso al dispositivo MFA original.
   + En el asistente, para utilizar el código QR para configurar el dispositivo MFA virtual, elija **Show QR code (Mostrar código QR)**. A continuación, siga las instrucciones de la aplicación para escanear el código. Por ejemplo, puede que tenga que elegir el icono de la cámara o un comando similar a **Scan account barcode (Escanear código de barras)** y, a continuación, utilizar la cámara del dispositivo para analizar el código QR.
   + En el asistente **Set up device** (Configurar el dispositivo), elija **Show secret key** (Mostrar clave secreta) y, a continuación, escriba la clave secreta en su aplicación MFA.
**importante**  
Haga una copia de seguridad protegida del código QR o la clave de configuración secreta, o asegúrese de habilitar varios dispositivos MFA para su cuenta. Puede registrar hasta **ocho** dispositivos MFA de cualquier combinación de los [tipos de MFA admitidos actualmente](https://aws.amazon.com/iam/features/mfa/) con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Un dispositivo MFA virtual puede dejar de estar disponible si, por ejemplo, pierde el smartphone donde se aloja el dispositivo MFA virtual. Si eso ocurre y no puede iniciar sesión en su cuenta sin dispositivos de MFA adicionales asociados al usuario o incluso mediante [Recuperación de un dispositivo MFA de usuario raíz](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken), no podrá iniciar sesión en su cuenta y tendrá que [contactarse con el servicio de atención al cliente](https://support.aws.amazon.com/#/contacts/aws-mfa-support) para eliminar la protección de MFA de la cuenta. 

   El dispositivo comienza a generar números de seis dígitos.

1. En el asistente, en la casilla **MFA code 1** (Código MFA 1), escriba la contraseña de un solo uso que aparece actualmente en el dispositivo MFA virtual. Espere hasta 30 segundos a que el dispositivo genere una nueva contraseña de uso único. A continuación, escriba la otra contraseña de uso único en el cuadro **MFA code 2 (Código MFA 2)**. Elija **Add MFA** (Agregar MFA). 
**importante**  
Envíe su solicitud inmediatamente después de generar el código. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede [volver a sincronizar el dispositivo](id_credentials_mfa_sync.md).

El dispositivo ya está listo para utilizarlo con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte [Inicio de sesión con MFA habilitado](console_sign-in-mfa.md).

# Habilitación de un token TOTP de hardware para el usuario raíz de la (consola)
<a name="enable-hw-mfa-for-root"></a>

Puede configurar y habilitar un dispositivo MFA virtual para el usuario raíz únicamente desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.

**nota**  
Puede ver texto diferente, como, por ejemplo, **Iniciar sesión mediante MFA** y **Solución de problemas con el dispositivo de autenticación**. Sin embargo, se proporcionan las mismas características. En cualquier caso, si no puede verificar la dirección de correo electrónico y el número de teléfono de su cuenta mediante factores de autenticación alternativos, póngase en contacto con [AWS Support](https://aws.amazon.com/forms/aws-mfa-support) para eliminar la configuración de MFA.<a name="enable_physical_root"></a>

**Para habilitar un token TOTP de hardware para su usuario raíz (consola)**

1. Abra la [Consola de administración de AWS](https://console.aws.amazon.com/) e inicie sesión con sus credenciales de usuario raíz.

   Para obtener instrucciones, consulte [Iniciar sesión en la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la parte derecha de la barra de navegación, elija su nombre de cuenta y, a continuación, **Credenciales de seguridad**.  
![\[Credenciales de seguridad en el menú de navegación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Expanda la sección **Autenticación multifactor (MFA)**.

1. Elija **Assign MFA device** (Asignar dispositivo MFA).

1. En el asistente, escriba un **Device name** (Nombre del dispositivo), elija **Hardware TOTP token** (Token TOTP de hardware) y, a continuación, elija **Next** (Siguiente).

1. En el campo **Serial number (Número de serie)**, escriba el número de serie que se encuentra en la parte posterior del dispositivo MFA.

1. En el cuadro **Código MFA 1**, escriba el número de seis dígitos que se encuentra en el dispositivo MFA. Es posible que tenga que pulsar el botón de la parte anterior del dispositivo para mostrar el número.  
![\[Panel de IAM, dispositivo MFA\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/MFADevice.png)

1. Espere 30 segundos a que el dispositivo actualice el código y, a continuación, escriba el número de seis dígitos siguiente en el cuadro **Código MFA 2**. Es posible que tenga que volver a pulsar el botón de la parte anterior del dispositivo para mostrar el otro número.

1. Elija **Add MFA** (Agregar MFA). Ahora el dispositivo MFA está asociado a Cuenta de AWS.
**importante**  
Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede [volver a sincronizar el dispositivo](id_credentials_mfa_sync.md).

   La siguiente vez que utilice sus credenciales de usuario raíz para iniciar sesión, debe escribir un código del dispositivo de MFA.

# Cambiar la contraseña para Usuario raíz de la cuenta de AWS
<a name="root-user-password"></a>

Puede cambiar la dirección de correo electrónico y la contraseña en la página [Credenciales de seguridad](https://console.aws.amazon.com/iam/home?#security_credential) o en la página **Cuenta**. También puede elegir **Forgot password? (¿Ha olvidado la contraseña?)** en la página de inicio de sesión de AWS para restablecer la contraseña.

Para cambiar la contraseña del usuario raíz, debe iniciar sesión como Usuario raíz de la cuenta de AWS y no como un usuario de IAM. Para obtener información sobre cómo restablecer la contraseña de usuario raíz *olvidada*, consulte [Restablecimiento de una contraseña de usuario raíz perdida u olvidada](reset-root-password.md). 

Para proteger la contraseña, es importante seguir estas prácticas recomendadas:
+ Cambie la contraseña periódicamente. 
+ Mantenga la contraseña en secreto, ya que cualquier persona que la conozca podrá acceder a su cuenta.
+ Utiliza una contraseña diferente de AWS a la utilizada en otros sitios. 
+ Evite utilizar contraseñas que sean fáciles de adivinar. Entre estas se incluyen contraseñas tales como `secret`, `password`, `amazon` o `123456`. Además, evite usar palabras del diccionario, su nombre, dirección de correo electrónico u otra información personal que pueda obtenerse fácilmente.

**importante**  
Las Cuentas de AWS administradas con AWS Organizations pueden tener habilitado el [acceso raíz centralizado](id_root-user.md#id_root-user-access-management) para las cuentas de los miembros. Estas cuentas de miembros no tienen credenciales de usuario raíz, no pueden iniciar sesión como usuarios raíz y no pueden recuperar la contraseña del usuario raíz. Póngase en contacto con su administrador si necesita realizar una tarea que requiera credenciales de usuario raíz.

------
#### [ Consola de administración de AWS ]

**Para cambiar la contraseña para el usuario raíz**
**Permisos mínimos**  
Para realizar los siguientes pasos, debe tener al menos los siguientes permisos IAM:  
Debe iniciar sesión como usuario raíz de la Cuenta de AWS, lo cual no requiere permisos adicionales de AWS Identity and Access Management (IAM). No puede realizar estos pasos como usuario o rol de IAM.

1. Abra la [Consola de administración de AWS](https://console.aws.amazon.com/) e inicie sesión con sus credenciales de usuario raíz.

   Para obtener instrucciones, consulte [Iniciar sesión en la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la esquina superior derecha de la consola, elija su nombre o número de cuenta y, a continuación, seleccione **Credenciales de seguridad**.

1. En la página **Cuenta**, junto a **Configuración de la cuenta**, elija **Editar**. Se le solicitará que vuelva a autenticarse por motivos de seguridad.
**nota**  
Si no ve la opción **Editar**, es probable que no haya iniciado sesión como el usuario raíz de la cuenta. No puede modificar la configuración de la cuenta si ha iniciado sesión como usuario o rol de IAM.

1. En la página **Actualizar la configuración de la cuenta**, en **Contraseña**, seleccione **Editar**.

1. En la página **Actualizar contraseña**, complete los campos **Contraseña actual**, **Contraseña nueva** y **Confirmar contraseña nueva**.
**importante**  
Asegúrese de elegir una contraseña segura. Aunque puede definir una política de contraseñas de cuentas para los usuarios de IAM, dicha política no se aplica al usuario raíz.

   AWS exige que la contraseña cumpla con las siguientes condiciones:
   + Debe tener 8 caracteres como mínimo y 128 como máximo.
   + Debe incluir, como mínimo, tres de estos tipos de caracteres combinados: mayúsculas, minúsculas, números y símbolos \$1 @ \$1 \$1 % ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-=.
   + No debe ser idéntica al nombre de la Cuenta de AWS ni a la dirección de correo electrónico.

1. Seleccione **Save changes (Guardar cambios)**.

------
#### [ AWS CLI or AWS SDK ]

Esta tarea no es compatible con la AWS CLI o con una operación de API de uno de los AWS SDK. Solamente puede realizar esta tarea mediante la Consola de administración de AWS.

------

# Restablecimiento de una contraseña de usuario raíz perdida u olvidada
<a name="reset-root-password"></a>

Cuando creó su Cuenta de AWS por primera vez, proporcionó una dirección de correo electrónico y contraseña. Estas son sus credenciales de Usuario raíz de la cuenta de AWS. Si olvida su contraseña de usuario raíz, puede restablecer la contraseña desde la Consola de administración de AWS.

Las Cuentas de AWS administradas con AWS Organizations pueden tener habilitado el [acceso raíz centralizado](id_root-user.md#id_root-user-access-management) para las cuentas de los miembros. Estas cuentas de miembros no tienen credenciales de usuario raíz, no pueden iniciar sesión como usuarios raíz y no pueden recuperar la contraseña del usuario raíz. Póngase en contacto con su administrador si necesita realizar una tarea que requiera credenciales de usuario raíz.

**importante**  
**¿Tiene problemas para iniciar sesión en AWS?** Asegúrese de que está en la [página de inicio de sesión de AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) correcta para su tipo de usuario. Si es el Usuario raíz de la cuenta de AWS (propietario de la cuenta), puede iniciar sesión en AWS con las credenciales que configuró cuando creó la Cuenta de AWS. Si es usuario de IAM, el administrador de su cuenta puede proporcionarle las credenciales que puede utilizar para iniciar sesión en AWS. Si necesita solicitar soporte técnico, no utilice el enlace de comentarios de esta página, ya que el formulario lo recibe el equipo de documentación de AWS, no Soporte. En lugar de ello, en la página [Contacte con nosotros](https://aws.amazon.com/contact-us/), elija **Todavía no es posible iniciar sesión en la cuenta de AWS** y, a continuación, elija una de las opciones de asistencia disponibles.

**Para restablecer la contraseña de su usuario raíz**

1. Abra la [Consola de administración de AWS](https://console.aws.amazon.com/) e inicie sesión con sus credenciales de usuario raíz.

   Para obtener instrucciones, consulte [Iniciar sesión en la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.
**nota**  
 Si ha iniciado sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/) con las credenciales de *usuario de IAM*, debe cerrar la sesión para poder restablecer la contraseña de usuario raíz. Si aparece la página de inicio de sesión de usuario de IAM específica de la cuenta, elija **Iniciar sesión utilizando las credenciales de la cuenta raíz** cerca de la parte inferior de la página. Si es necesario, proporcione la dirección de correo electrónico de la cuenta y elija **Siguiente** para acceder a la página **Inicio de sesión de usuario raíz**.

1. Elija **Forgot your password? (¿Ha olvidado su contraseña?)**.
**nota**  
Si es usuario de IAM, esta opción no se encuentra disponible. La opción **¿Ha olvidado su contraseña?** solo se encuentra disponible para la cuenta de usuario raíz. Los usuarios de IAM deben solicitar a su administrador que restablezca una contraseña olvidada. Para obtener más información, consulte [Olvidé la contraseña del usuario de IAM de mi cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password). Si inicia sesión mediante el portal de acceso de AWS, consulte [Restablecimiento de la contraseña de usuario del IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html).

1. Proporcione la dirección de correo electrónico asociada a la cuenta. A continuación, proporcione el texto CAPTCHA y elija **Continue (Continuar)**.

1. Busque un mensaje de Amazon Web Services en la bandeja del correo electrónico asociado con su cuenta de Cuenta de AWS. El correo electrónico procederá de una dirección que termina en `@verify.signin.aws`. Siga las indicaciones del correo electrónico. Si no ve el correo electrónico en su cuenta, compruebe la carpeta de spam. Si ya no tiene acceso al correo electrónico, consulte [No tengo acceso al correo electrónico de mi cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console) en la *Guía del usuario de AWS Sign-In*.

# Creación de claves de acceso para el usuario raíz
<a name="id_root-user_manage_add-key"></a>

**aviso**  
Le recomendamos encarecidamente **no** crear pares de claves de acceso para el usuario raíz. Dado que [solo unas pocas tareas requieren el usuario raíz](id_root-user.md#root-user-tasks) y, por lo general, las realiza con poca frecuencia, le recomendamos iniciar sesión en la Consola de administración de AWS para realizar las tareas de usuario raíz. Antes de crear claves de acceso, revise las [alternativas a las claves de acceso a largo plazo](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

Aunque no lo recomendamos, puede crear claves de acceso para el usuario raíz para poder ejecutar comandos en AWS Command Line Interface (AWS CLI) o utilizar las operaciones de la API desde uno de los AWS SDK con las credenciales de usuario raíz. Cuando crea una clave de acceso, se genera el ID de clave de acceso y la clave de acceso secreta como conjunto. Cuando se crea la clave de acceso, AWS permite ver y descargar la clave de acceso secreta que forma parte de la clave de acceso. Si no la descarga o la pierde, puede eliminar la clave de acceso y, a continuación, crear una nueva. Puede crear claves de acceso de usuario raíz con la consola, la AWS CLI o la API de AWS.

Una clave de acceso recién creada tiene estado *activo*; esto significa que se puede utilizar para efectuar llamadas de CLI y a la API. Puede asignar un máximo de dos claves de acceso al usuario raíz.

Las claves de acceso que no están en uso deben desactivarse. Una vez que una clave de acceso está inactiva, no se la puede utilizar para las llamadas a la API. Las llaves no activas cuentan igual para su límite. Puede crear o eliminar una clave de acceso en cualquier momento. Sin embargo, cuando se elimina una clave de acceso, desaparece para siempre y ya no se puede recuperar.

------
#### [ Consola de administración de AWS ]

**Para crear una clave de acceso para la Usuario raíz de la cuenta de AWS**
**Permisos mínimos**  
Para realizar los siguientes pasos, debe tener al menos los siguientes permisos IAM:  
Debe iniciar sesión como usuario raíz de la Cuenta de AWS, lo cual no requiere permisos adicionales de AWS Identity and Access Management (IAM). No puede realizar estos pasos como usuario o rol de IAM.

1. Abra la [Consola de administración de AWS](https://console.aws.amazon.com/) e inicie sesión con sus credenciales de usuario raíz.

   Para obtener instrucciones, consulte [Iniciar sesión en la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la esquina superior derecha de la consola, elija su nombre o número de cuenta y, a continuación, seleccione **Credenciales de seguridad**. 

1. En la sección **Claves de acceso**, haga clic en **Crear clave de acceso**. Si esta opción no está disponible, significa que ya tiene el número máximo de claves de acceso. Debe eliminar una de las claves de acceso existentes antes de poder crear una nueva. Para obtener más información, consulte [IAM Object Quotas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities). 

1. En la página **Alternativas a las claves de acceso de usuario raíz**, revise las recomendaciones de seguridad. Para continuar, seleccione la casilla de verificación y, a continuación, elija **Crear clave de acceso**. 

1. En la página **Recuperar clave de acceso**, se muestra el ID de **clave de acceso**. 

1. En **Clave de acceso secreta**, elija **Mostrar** y, a continuación, copie el ID de clave de acceso y la clave secreta de la ventana del navegador, luego, pegue esos datos en un lugar seguro. También puede elegir **Descargar archivo .csv**, lo cual descargará un archivo denominado `rootkey.csv` que contiene el ID de clave de acceso y la clave secreta. Guarde el archivo en un lugar seguro.

1. Seleccione **Listo**. Cuando ya no necesite la clave de acceso, [le recomendamos eliminarla](id_root-user_manage_delete-key.md) o, al menos, considerar desactivarla para que nadie pueda utilizarla de manera indebida.

------
#### [ AWS CLI & SDKs ]

**Para crear una clave de acceso para el usuario raíz**
**nota**  
Para ejecutar el siguiente comando u operación de API como usuario raíz, ya debe tener un par de claves de acceso activo. Si no tiene ninguna clave de acceso, cree la primera con Consola de administración de AWS. A continuación, puede usar las credenciales de la primera clave de acceso con la AWS CLI para crear la segunda clave de acceso o eliminar una clave de acceso.
+ AWS CLI: [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)  
**Example**  

  ```
  $ aws iam create-access-key
  {
      "AccessKey": {
          "UserName": "MyUserName",
          "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
          "Status": "Active",
          "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
          "CreateDate": "2021-04-08T19:30:16+00:00"
      }
  }
  ```
+ API de AWS: [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) en la *Referencia de la API de IAM*. 

------

# Eliminación de claves de acceso para el usuario raíz
<a name="id_root-user_manage_delete-key"></a>

Puede utilizar la Consola de administración de AWS, la AWS CLI o la API de AWS para eliminar las claves de acceso de usuario raíz.

------
#### [ Consola de administración de AWS ]

**Para eliminar una clave de acceso para el usuario raíz**
**Permisos mínimos**  
Para realizar los siguientes pasos, debe tener al menos los siguientes permisos IAM:  
Debe iniciar sesión como usuario raíz de la Cuenta de AWS, lo cual no requiere permisos adicionales de AWS Identity and Access Management (IAM). No puede realizar estos pasos como usuario o rol de IAM.

1. Abra la [Consola de administración de AWS](https://console.aws.amazon.com/) e inicie sesión con sus credenciales de usuario raíz.

   Para obtener instrucciones, consulte [Iniciar sesión en la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la esquina superior derecha de la consola, elija su nombre o número de cuenta y, a continuación, seleccione **Credenciales de seguridad**. 

1. En la sección **Claves de acceso**, seleccione la clave de acceso que desea eliminar y, a continuación, en **Acciones**, elija **Eliminar**.
**nota**  
Como alternativa, puede **desactivar** una clave de acceso, en lugar de eliminarla de forma permanente. Esto le permitirá volver a utilizarla más tarde, sin tener que cambiar el ID de clave o la clave secreta. Mientras la clave está inactiva, todos los intentos de utilizarla en las solicitudes a la API de AWS, muestran el error acceso denegado.

1. En el cuadro de diálogo **Eliminar <ID de clave de acceso>**, seleccione **Desactivar**, introduzca el ID de clave de acceso para confirmar que desea eliminarla y, a continuación, seleccione **Eliminar**. 

------
#### [ AWS CLI & SDKs ]

**Para eliminar una clave de acceso para el usuario raíz**
**Permisos mínimos**  
Para realizar los siguientes pasos, debe tener al menos los siguientes permisos IAM:  
Debe iniciar sesión como usuario raíz de la Cuenta de AWS, lo cual no requiere permisos adicionales de AWS Identity and Access Management (IAM). No puede realizar estos pasos como usuario o rol de IAM.
+ AWS CLI: [aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)  
**Example**  

  ```
  $ aws iam delete-access-key \
      --access-key-id AKIAIOSFODNN7EXAMPLE
  ```

  Este comando no genera ninguna salida si se realiza correctamente.
+ API de AWS: [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## Tareas que requieren credenciales de usuario raíz
<a name="root-user-tasks"></a>

Le recomendamos [configurar un usuario administrativo en AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) para realizar las tareas diarias y acceder a los recursos de AWS. Sin embargo, las tareas que se enumeran a continuación únicamente se pueden realizar cuando se inicia sesión como usuario raíz de una cuenta.

Para simplificar la administración de las credenciales de usuario raíz con privilegios en todas las cuentas de miembros de AWS Organizations, puede habilitar el acceso raíz centralizado para garantizar de forma centralizada el acceso con altos privilegios a sus Cuentas de AWS. [Administración de forma centralizada del acceso raíz a las cuentas de miembros](#id_root-user-access-management) le permite eliminar las credenciales de usuario raíz e impedir su recuperación a largo plazo de forma centralizada, lo que mejora la seguridad de las cuentas de su organización. Después de habilitar esta característica, puede realizar las siguientes tareas con privilegios en las cuentas de miembros.
+ Elimine las credenciales del usuario raíz de la cuenta de miembro para impedir la recuperación de la cuenta de usuario raíz. También puede permitir la recuperación de contraseñas para recuperar las credenciales de usuario raíz de una cuenta de miembro.
+ Elimine una política de bucket mal configurada que impida a todas las entidades principales acceder a un bucket de Amazon S3.
+ Elimine una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.

**Tareas de administración de cuentas**
+ [Cambie la configuración de la Cuenta de AWS.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) Las Cuentas de AWS independientes que no forman parte de AWS Organizations requieren credenciales raíz para actualizar la dirección de correo electrónico, la contraseña y las claves de acceso del usuario raíz. Otras configuraciones de la cuenta, como el nombre de cuenta, la información de contacto, los contactos alternativos y la moneda de pago preferida y Regiones de AWS, no requieren credenciales de usuario raíz.
**nota**  
AWS Organizations, con todas las características activadas, se puede usar para administrar la configuración de las cuentas de miembro de forma centralizada desde la cuenta de administración y las cuentas de administrador delegado. Los usuarios de IAM autorizados o los roles de IAM, tanto en la cuenta de administración como en las cuentas de administrador delegado, pueden cerrar las cuentas de miembro y actualizar las direcciones de correo electrónico raíz, los nombres de las cuentas, la información de contacto, los contactos alternativos y las Regiones de AWS de las cuentas de miembro. 
+ [Cierre su Cuenta de AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html). Las Cuentas de AWS independientes que no forman parte de AWS Organizations requieren credenciales raíz para cerrar la cuenta. Con AWS Organizations, puede cerrar las cuentas de miembro de forma centralizada desde la cuenta de administración y las cuentas de administrador delegado.
+ [Restaure los permisos de usuario de IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) Si el único administrador de IAM revoca de manera accidental sus propios permisos, usted puede iniciar sesión como usuario raíz para editar políticas y restaurar esos permisos.

**Etiquetas de facturación.**
+ [Active el acceso de IAM a la consola de Administración de facturación y costos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate).
+ Algunas tareas de facturación están limitadas al usuario raíz. Para obtener más información, consulte la Guía del usuario AWS Billing sobre la [gestión de una Cuenta de AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html).
+ Consulte ciertas facturas de impuestos. Un usuario de IAM con el permiso [aws-portal:ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) puede ver y descargar facturas de IVA de AWS Europa, pero no de AWS Inc o Amazon Internet Services Private Limited (AISPL).

**AWS GovCloud (US)Tareas de**
+ [Regístrese en AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html).
+ Solicite las claves de acceso de usuario raíz de la cuenta AWS GovCloud (US) a AWS Support.

**Tarea de Amazon EC2**
+ [Se ha registrado como vendedor](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html) en el marketplace de instancias reservadas.

**AWS KMSTarea de**
+ En caso de que una clave de AWS Key Management Service se vuelva inmanejable, un administrador puede recuperarla al contactar a Soporte; sin embargo, Soporte responde al número de teléfono principal del usuario raíz para solicitar la autorización al confirmar la OTP del ticket.

**Tarea de Amazon Mechanical Turk**
+  [Vincule su Cuenta de AWS a su cuenta de MTurk Requester](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking).

**Tareas de Amazon Simple Storage Service**
+ [Configure un bucket de Amazon S3 para habilitar MFA (autenticación multifactor)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html).
+ [Edite o elimine una política de bucket de Amazon S3 que deniega todas las entidades principales](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/).

  Puede utilizar acciones privilegiadas para desbloquear un bucket de Amazon S3 con una política de bucket mal configurada. Para obtener más información, consulte [Realización de tarea con privilegios en la cuenta de miembro de AWS Organizations](id_root-user-privileged-task.md).

**Tareas de Amazon Simple Queue Service**
+ [Edite o elimine una política basada en recursos de Amazon SQS que deniega todas las entidades principales](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy).

  Puede utilizar acciones privilegiadas para desbloquear una cola de Amazon SQS con una política basada en recursos mal configurada. Para obtener más información, consulte [Realización de tarea con privilegios en la cuenta de miembro de AWS Organizations](id_root-user-privileged-task.md).

## Recursos adicionales
<a name="id_root-user-resources"></a>

Para obtener más información sobre el usuario raíz de AWS, consulte los siguientes recursos:
+ Para obtener ayuda con los problemas de los usuarios raíz, consulte [Solucionar problemas con el usuario raíz](troubleshooting_root-user.md).
+ Para administrar de forma centralizada las direcciones de correo electrónico de usuario raíz en AWS Organizations, consulte [Actualización de la dirección de correo electrónico del usuario raíz de una cuenta miembro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) en la *Guía del usuario de AWS Organizations*.

En los siguientes artículos se proporciona información adicional sobre cómo trabajar con el usuario raíz.
+ [¿Cuáles son algunas de las prácticas recomendadas para proteger mi Cuenta de AWS y sus recursos?](https://repost.aws/knowledge-center/security-best-practices)
+ [Cómo puedo crear una regla de eventos de EventBridge que me notifique que se ha utilizado mi usuario raíz?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule) 
+ [Supervisar y notificar la actividad Usuario raíz de la cuenta de AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [Supervisar la actividad del usuario raíz de IAM](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)