Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisateur racine d'un compte AWS
Lorsque vous créez un compte Amazon Web Services (AWS) pour la première fois, vous utilisez une identité de connexion unique qui donne un accès complet à tous les AWS services et ressources du compte. Cette identité est appelée *utilisateur root* du AWS compte. L'adresse e-mail et le mot de passe que vous avez utilisés pour créer le vôtre Compte AWS sont les informations d'identification que vous utilisez pour vous connecter en tant qu'utilisateur root.
+ Utilisez l’utilisateur racine pour effectuer les tâches qui nécessitent des autorisations de niveau racine. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter [Tâches nécessitant les informations d'identification de l'utilisateur root](#root-user-tasks).
+ Suivez les [Meilleures pratiques d’utilisateur racine pour votre Compte AWS](root-user-best-practices.md).
+ Si vous ne parvenez pas à vous connecter, consultez [Se connecter à l’ AWS Management Console](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html).
**Important**
Nous vous recommandons vivement de ne pas utiliser l'utilisateur root pour vos tâches quotidiennes et de suivre les [bonnes pratiques de l'utilisateur root pour votre Compte AWS](root-user-best-practices.md). Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter [Tâches nécessitant les informations d'identification de l'utilisateur root](#root-user-tasks).
Bien que l’authentification multifactorielle (MFA) soit appliquée par défaut pour les utilisateurs racine, elle nécessite une action de la part du client pour être ajoutée lors de la création initiale du compte ou à la demande lors de la connexion. Pour de plus amples informations sur l’utilisation de l’authentification multifactorielle (MFA) pour protéger l’utilisateur racine, veuillez consulter [Authentification multifactorielle pour Utilisateur racine d'un compte AWS](enable-mfa-for-root.md).
## Gestion centralisée de l’accès root pour les comptes membres
Pour vous aider à gérer les informations d’identification à grande échelle, vous pouvez sécuriser de manière centralisée l’accès aux informations d’identification des utilisateurs racine pour les comptes membres dans AWS Organizations. Lorsque vous l'activez AWS Organizations, vous regroupez tous vos AWS comptes au sein d'une organisation pour une gestion centralisée. La centralisation de l’accès racine vous permet de supprimer les informations d’identification de l’utilisateur racine et d’effectuer les tâches privilégiées suivantes sur les comptes membres.
**Suppression des informations d’identification de l’utilisateur racine des comptes membres**
Après avoir [centralisé l’accès racine pour les comptes membres](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), vous pouvez choisir de supprimer les informations d’identification de l’utilisateur racine des comptes membres de votre Organizations. Vous pouvez supprimer le mot de passe d’utilisateur racine, les clés d’accès, les certificats de signature, ainsi que désactiver l’authentification multifactorielle (MFA). Les nouveaux comptes que vous créez dans Organizations ne disposent par défaut d’aucunes informations d’identification d’utilisateur racine. Les comptes membres ne peuvent pas se connecter à leur utilisateur racine ni récupérer le mot de passe de leur utilisateur racine si la récupération de compte n’est pas activée.
**Effectuez les tâches privilégiées nécessitant les informations d’identification de l’utilisateur racine**
Certaines tâches ne peuvent être effectuées que lorsque vous vous connectez en tant qu’utilisateur racine d’un compte. Certaines d’entre elles [Tâches nécessitant les informations d'identification de l'utilisateur root](#root-user-tasks) peuvent être effectuées par le compte de gestion ou par l’administrateur délégué d’IAM. Pour en savoir plus sur les actions privilégiées sur les comptes membres, consultez [Exécuter une tâche privilégiée](id_root-user-privileged-task.md).
**Activer la restauration du compte de l’utilisateur racine**
Si vous devez récupérer les informations d’identification de l’utilisateur racine pour un compte membre, le compte de gestion des Organizations ou l’administrateur délégué peut exécuter la tâche privilégiée **Autoriser la récupération du mot de passe**. La personne ayant accès à la boîte de réception de l’utilisateur racine pour le compte membre peut [réinitialiser le mot de passe de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) pour récupérer les informations d’identification de l’utilisateur racine. Nous vous recommandons de supprimer les informations d’identification de l’utilisateur racine une fois que vous avez terminé la tâche nécessitant l’accès à l’utilisateur racine.
# Centralisation de l’accès racine pour les comptes membres
Les informations d'identification de l'utilisateur root sont les informations d'identification initiales attribuées à chaque Compte AWS utilisateur ayant un accès complet à tous les AWS services et ressources du compte. Lorsque vous l'activez AWS Organizations, vous regroupez tous vos AWS comptes au sein d'une organisation pour une gestion centralisée. Chaque compte membre dispose de son propre utilisateur racine avec des autorisations par défaut lui permettant d’effectuer toute action dans le compte membre. Nous vous recommandons de sécuriser de manière centralisée les informations d'identification de l'utilisateur root lors de l'utilisation Comptes AWS gérée AWS Organizations afin d'empêcher la récupération des informations d'identification de l'utilisateur root et l'accès à grande échelle.
Après avoir centralisé l’accès racine, vous pouvez choisir de supprimer les informations d’identification de l’utilisateur racine des comptes membres de votre organisation. Vous pouvez supprimer le mot de passe d’utilisateur racine, les clés d’accès, les certificats de signature, ainsi que désactiver l’authentification multifactorielle (MFA). Les nouveaux comptes que vous créez dans AWS Organizations ne disposent par défaut d’aucune information d’identification d’utilisateur racine. Les comptes membres ne peuvent pas se connecter à leur utilisateur racine ni récupérer le mot de passe de leur utilisateur racine.
**Note**
Certaines tâches [Tâches nécessitant les informations d'identification de l'utilisateur root](id_root-user.md#root-user-tasks) peuvent être effectuées par le compte de gestion ou l’administrateur délégué pour IAM, mais d’autres ne peuvent être effectuées que lorsque vous vous connectez en tant qu’utilisateur racine d’un compte.
Si vous devez récupérer les informations d’identification de l’utilisateur racine pour un compte membre pour exécuter l’une de ces tâches, suivez les étapes décrites dans [Exécuter une tâche privilégiée](id_root-user-privileged-task.md) et sélectionnez **Autoriser la récupération du mot de passe**. La personne ayant accès à la boîte de réception de l’utilisateur racine pour le compte membre peut alors suivre les étapes pour [réinitialiser le mot de passe de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) et se connecter à l’utilisateur racine du compte membre.
Nous vous recommandons de supprimer les informations d’identification de l’utilisateur racine une fois que vous avez terminé la tâche nécessitant l’accès à l’utilisateur racine.
## Conditions préalables
Avant de centraliser l’accès racine, vous devez configurer un compte avec les paramètres suivants :
+ Vous devez détenir les autorisations IAM suivants :
+ `iam:GetAccessKeyLastUsed`
+ `iam:GetAccountSummary`
+ `iam:GetLoginProfile`
+ `iam:GetUser`
+ `iam:ListAccessKeys`
+ `iam:ListMFADevices`
+ `iam:ListSigningCertificates`
+ `sts:AssumeRoot`
**Note**
Pour vérifier l'état des informations d'identification de l'utilisateur root d'un compte membre, vous pouvez utiliser la politique [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS gérée pour limiter les autorisations lorsque vous effectuez une tâche privilégiée sur un compte AWS Organizations membre, ou utiliser n'importe quelle politique ayant accès à`iam:GetAccountSummary`.
Pour générer le rapport sur les informations d’identification de l’utilisateur racine, les autres politiques ont uniquement besoin de l’action `iam:GetAccountSummary` pour produire le même résultat. Vous pouvez également répertorier ou obtenir les informations d’identification de chaque utilisateur racine, notamment :
Si un mot de passe utilisateur racine est présent
Si une clé d’accès utilisateur racine est présente et quand elle a été utilisée pour la dernière fois
Si l’utilisateur racine possède des certificats de signature associés
Dispositifs MFA associés à l’utilisateur racine
Liste du statut consolidé des informations d’identification de l’utilisateur racine
+ Vous devez gérer votre Comptes AWS entrée [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html).
+ Pour activer cette fonctionnalité de votre organisation, vous devez disposer de l’autorisation suivante :
+ `iam:EnableOrganizationsRootCredentialsManagement`
+ `iam:EnableOrganizationsRootSessions`
+ `iam:ListOrganizationsFeatures`
+ `organizations:EnableAwsServiceAccess`
+ `organizations:ListAccountsForParent`
+ `organizations:RegisterDelegatedAdministrator`
+ Pour garantir un fonctionnement optimal de la console, nous vous recommandons d’activer les autorisations supplémentaires suivantes :
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListOrganizationalUnitsForParent`
+ `organizations:ListParents`
+ `organizations:ListTagsForResource`
## Activation de l’accès racine centralisé (console)
**Pour activer cette fonctionnalité pour les comptes membres dans le AWS Management Console**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de la console, choisissez **Gestion de l’accès racine**, puis sélectionnez **Activer**.
**Note**
Si vous constatez que la **gestion de l'accès root est désactivée**, activez l'accès sécurisé pour Gestion des identités et des accès AWS l'entrée AWS Organizations. Pour plus d’informations, consultez [AWS IAM et AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html) dans le *Guide de l’utilisateur AWS Organizations *.
1. Dans la section Fonctionnalités à activer, choisissez les fonctionnalités à activer.
+ Sélectionnez **Gestion des informations d’identification racine** pour permettre au compte de gestion et à l’administrateur délégué d’IAM de supprimer les informations d’identification de l’utilisateur racine pour les comptes membres. Vous devez activer les actions racines privilégiées dans les comptes membres pour leur permettre de récupérer leurs informations d’identification d’utilisateur racine après leur suppression.
+ Sélectionnez **Actions racine privilégiées dans les comptes membres** pour permettre au compte de gestion et à l’administrateur délégué d’IAM d’effectuer certaines tâches nécessitant des informations d’identification de l’utilisateur racine.
1. (Facultatif) Saisissez l’ID de compte de l’**administrateur délégué** autorisé à gérer l’accès des utilisateurs racine et à effectuer des actions privilégiées sur les comptes membres. Nous recommandons un compte destiné à des fins de sécurité ou de gestion.
1. Sélectionnez **Activer**.
## Activation de l’accès racine centralisé (AWS CLI)
**Pour activer l'accès root centralisé depuis le AWS Command Line Interface (AWS CLI)**
1. Si vous n'avez pas encore activé l'accès sécurisé pour Gestion des identités et des accès AWS in AWS Organizations, utilisez la commande suivante : [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html).
1. Utilisez la commande suivante pour autoriser le compte de gestion et l'administrateur délégué à supprimer les informations d'identification de l'utilisateur root pour les comptes membres : [aws iam enable-organizations-root-credentials -management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html).
1. Utilisez la commande suivante pour autoriser le compte de gestion et l'administrateur délégué à effectuer certaines tâches nécessitant des informations d'identification de l'utilisateur root : [aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html).
1. (Facultatif) Utilisez la commande suivante pour enregistrer un administrateur délégué : [aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html).
L’exemple suivant affecte le compte 111111111111 en tant qu’administrateur délégué pour le service IAM.
```
aws organizations register-delegated-administrator
--service-principal iam.amazonaws.com
--account-id 111111111111
```
## Activation de l'accès root centralisé (AWS API)
**Pour activer l'accès root centralisé depuis l' AWS API**
1. Si vous n'avez pas encore activé l'accès sécurisé pour Gestion des identités et des accès AWS in AWS Organizations, utilisez la commande suivante : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).
1. Utilisez la commande suivante pour autoriser le compte de gestion et l'administrateur délégué à supprimer les informations d'identification de l'utilisateur root pour les comptes membres : [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html).
1. Utilisez la commande suivante pour autoriser le compte de gestion et l'administrateur délégué à effectuer certaines tâches nécessitant des informations d'identification de l'utilisateur root : [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html).
1. (Facultatif) Utilisez la commande suivante pour enregistrer un administrateur délégué : [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)
## Étapes suivantes
Une fois que vous avez sécurisé de manière centralisée les informations d’identification privilégiées pour les comptes membres de votre organisation, consultez [Exécuter une tâche privilégiée](id_root-user-privileged-task.md) pour effectuer des actions privilégiées sur un compte membre.
# Réaliser une tâche privilégiée sur un compte AWS Organizations membre
Le compte AWS Organizations de gestion ou un compte d'administrateur délégué pour IAM peut effectuer certaines tâches privilégiées sur les comptes membres qui nécessiteraient autrement les informations d'identification de l'utilisateur root. Avec un accès root centralisé, ces tâches sont effectuées par le biais de sessions privilégiées de courte durée. Ces sessions fournissent des informations d'identification temporaires limitées à des actions privilégiées spécifiques, sans nécessiter la connexion de l'utilisateur root sur le compte du membre.
Une fois que vous avez lancé une session privilégiée, vous pouvez supprimer une politique de compartiment Amazon S3 mal configurée, supprimer une politique de file d’attente Amazon SQS mal configurée, supprimer les informations d’identification de l’utilisateur racine pour un compte membre et réactiver les informations d’identification de l’utilisateur racine pour un compte membre.
**Note**
Pour utiliser l'accès root centralisé, vous devez vous connecter via un compte de gestion ou un compte d'administrateur délégué en tant qu'utilisateur ou rôle IAM avec l'`sts:AssumeRoot`autorisation explicitement accordée. Vous ne pouvez pas utiliser les informations d'identification de l'utilisateur root pour appeler`sts:AssumeRoot`.
## Conditions préalables
Avant de pouvoir lancer une session privilégiée, vous devez disposer des paramètres suivants :
+ Vous avez activé l’accès racine centralisé dans votre organisation. Pour savoir comment activer cette fonctionnalité, consultez [Centralisation de l’accès racine pour les comptes membres](id_root-enable-root-access.md).
+ Votre compte de gestion ou votre compte d’administrateur délégué dispose des autorisations suivantes : `sts:AssumeRoot`
## Effectuer une action privilégiée sur un compte membre (console)
**Pour lancer une session d'action privilégiée sur un compte membre dans le AWS Management Console**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de la console, choisissez **Gestion de l’accès racine**.
1. Sélectionnez un nom dans la liste des comptes membres, puis choisissez **Effectuer une action privilégiée**.
1. Choisissez l’action privilégiée que vous souhaitez effectuer dans le compte membre.
+ Sélectionnez **Supprimer la politique de compartiment Amazon S3** pour supprimer une politique de compartiment mal configurée qui empêche tous les principaux d’accéder au compartiment Amazon S3.
1. Choisissez **Naviguer dans S3** pour sélectionner un nom parmi les compartiments appartenant au compte membre, puis sélectionnez **Choisir**.
1. Choisissez **Supprimer la politique de compartiment**.
1. Utilisez la console Amazon S3 pour corriger la politique de compartiment après avoir supprimé la politique mal configurée. Pour plus d’informations, consultez [Ajout d’une politique de compartiment à l’aide de la console Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)dans le *Guide de l’utilisateur Amazon S3*.
+ Sélectionnez **Supprimer la politique Amazon SQS** pour supprimer une politique Amazon Simple Queue Service qui refuse à tous les principaux l’accès à une file d’attente Amazon SQS.
1. Saisissez le nom de la file d’attente dans le champ **Nom de la file d’attente SQS**, puis sélectionnez **Supprimer la politique SQS**.
1. Utilisez la console Amazon SQS pour corriger la politique de la file d’attente après avoir supprimé la politique mal configurée. Pour plus d’informations, consultez [Configuration de stratégie d’accès dans Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html) dans le *Guide du développeur Amazon SQS*.
+ Sélectionnez **Supprimer les informations d’identification racine** pour supprimer l’accès racine d’un compte membre. La suppression des informations d’identification de l’utilisateur racine supprime le mot de passe de l’utilisateur racine, les clés d’accès, les certificats de signature et désactive l’authentification multifactorielle (MFA) pour le compte membre.
1. Choisissez **Supprimer les informations d’identification racine**.
+ Sélectionnez **Autoriser la récupération du mot de passe** pour récupérer les informations d’identification de l’utilisateur racine pour un compte membre.
Cette option est disponible uniquement lorsque le compte membre ne possède pas d’informations d’identification d’utilisateur racine.
1. Choisissez **Autoriser la récupération du mot de passe**.
1. Après avoir effectué cette action privilégiée, la personne ayant accès à la boîte de réception de l’utilisateur racine pour le compte membre peut [réinitialiser le mot de passe de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) et se connecter à l’utilisateur racine du compte membre.
## Effectuer une action privilégiée sur un compte membre (AWS CLI)
**Pour lancer une session d'action privilégiée sur un compte membre depuis le AWS Command Line Interface**
1. Utilisez la commande suivante pour utiliser une session utilisateur racine : [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html).
**Note**
Le point de terminaison global n’est pas pris en charge pour `sts:AssumeRoot`. Vous devez envoyer cette demande à un point de AWS STS terminaison régional. Pour de plus amples informations, veuillez consulter [Gérez AWS STS dans un Région AWS](id_credentials_temp_enable-regions.md).
Lorsque vous lancez une session utilisateur racine privilégiée pour un compte membre, vous devez définir `task-policy-arn` permettant d’étendre la session à l’action privilégiée à effectuer au cours de la session. Vous pouvez utiliser l’une des politiques gérées AWS suivantes pour définir les actions de session privilégiées.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Pour limiter les actions qu'un compte de gestion ou un administrateur délégué peut effectuer au cours d'une session utilisateur root privilégiée, vous pouvez utiliser la clé de AWS STS condition [sts : TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn).
Dans l'exemple suivant, l'administrateur délégué suppose que root supprime les informations d'identification de l'utilisateur root pour l'ID du compte membre*111122223333*.
```
aws sts assume-root \
--target-principal 111122223333 \
--task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
--duration-seconds 900
```
1. Utilisez `SessionToken`, `AccessKeyId` et `SecretAccessKey` depuis la réponse pour effectuer des actions privilégiées dans le compte membre. Vous pouvez omettre le nom d’utilisateur et le mot de passe dans la requête afin d’utiliser par défaut le compte membre.
+ **Vérifiez l’état des informations d’identification de l’utilisateur racine**. Utilisez les commandes suivantes pour vérifier l’état des informations d’identification de l’utilisateur racine pour un compte membre.
+ [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
+ [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
+ [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
+ [get-access-key-last-utilisé](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
+ **Supprimez les informations d’identification de l’utilisateur racine**. Utilisez les commandes suivantes pour supprimer l’accès racine. Vous pouvez supprimer le mot de passe d’utilisateur racine, les clés d’accès, les certificats de signature, ainsi que désactiver l’authentification multifactorielle (MFA) pour supprimer tout accès et toute récupération de l’utilisateur racine.
+ [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
+ [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
+ [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
+ [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
+ **Supprimez le compartiment Amazon S3**. Utilisez les commandes suivantes pour lire, modifier et supprimer une politique de compartiment mal configurée qui empêche tous les principaux d’accéder au compartiment Amazon S3.
+ [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
+ [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
+ [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
+ [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
+ **Supprimez la politique Amazon SQS.** Utilisez les commandes suivantes pour afficher et supprimer une politique Amazon Simple Queue Service qui refuse à tous les principaux l’accès à une file d’attente Amazon SQS.
+ [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
+ [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
+ [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
+ [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
+ **Autorisez la récupération du mot de passe**. Utilisez les commandes suivantes pour afficher le nom d’utilisateur et récupérer les informations d’identification de l’utilisateur racine pour un compte membre.
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)
## Effectuer une action privilégiée sur un compte membre (AWS API)
**Pour lancer une session pour une action privilégiée dans un compte membre depuis l' AWS API**
1. Utilisez la commande suivante pour assumer une session utilisateur root : [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html).
**Note**
Le point de terminaison global n'est pas pris en charge pour AssumeRoot. Vous devez envoyer cette demande à un point de AWS STS terminaison régional. Pour de plus amples informations, veuillez consulter [Gérez AWS STS dans un Région AWS](id_credentials_temp_enable-regions.md).
Lorsque vous lancez une session utilisateur racine privilégiée pour un compte membre, vous devez définir `TaskPolicyArn` permettant d’étendre la session à l’action privilégiée à effectuer au cours de la session. Vous pouvez utiliser l'une des politiques AWS gérées suivantes pour définir les actions de session privilégiées.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Pour limiter les actions qu'un compte de gestion ou un administrateur délégué peut effectuer au cours d'une session utilisateur root privilégiée, vous pouvez utiliser la clé de AWS STS condition [sts : TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn).
Dans l'exemple suivant, l'administrateur délégué suppose que root lit, modifie et supprime une politique basée sur les ressources mal configurée pour un compartiment Amazon S3 pour l'ID de compte membre. *111122223333*
```
https://sts.us-east-2.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRoot
&TargetPrincipal=111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds 900
```
1. Utilisez `SessionToken`, `AccessKeyId` et `SecretAccessKey` depuis la réponse pour effectuer des actions privilégiées dans le compte membre. Vous pouvez omettre le nom d’utilisateur et le mot de passe dans la requête afin d’utiliser par défaut le compte membre.
+ **Vérifiez l’état des informations d’identification de l’utilisateur racine**. Utilisez les commandes suivantes pour vérifier l’état des informations d’identification de l’utilisateur racine pour un compte membre.
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
+ [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
+ [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
+ [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
+ **Supprimez les informations d’identification de l’utilisateur racine**. Utilisez les commandes suivantes pour supprimer l’accès racine. Vous pouvez supprimer le mot de passe d’utilisateur racine, les clés d’accès, les certificats de signature, ainsi que désactiver l’authentification multifactorielle (MFA) pour supprimer tout accès et toute récupération de l’utilisateur racine.
+ [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
+ [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
+ [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
+ **Supprimez le compartiment Amazon S3**. Utilisez les commandes suivantes pour lire, modifier et supprimer une politique de compartiment mal configurée qui empêche tous les principaux d’accéder au compartiment Amazon S3.
+ [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ **Supprimez la politique Amazon SQS.** Utilisez les commandes suivantes pour afficher et supprimer une politique Amazon Simple Queue Service qui refuse à tous les principaux l’accès à une file d’attente Amazon SQS.
+ [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
+ [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
+ [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
+ [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
+ **Autorisez la récupération du mot de passe**. Utilisez les commandes suivantes pour afficher le nom d’utilisateur et récupérer les informations d’identification de l’utilisateur racine pour un compte membre.
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)
# Authentification multifactorielle pour Utilisateur racine d'un compte AWS
**Important**
AWS vous recommande d'utiliser une clé d'accès ou une clé de sécurité pour les MFA, dans la AWS mesure du possible, car ils sont plus résistants aux attaques telles que le phishing. Pour de plus amples informations, veuillez consulter [Clés d’accès et clés de sécurité](#passkeys-security-keys-for-root).
L’authentification multifactorielle (MFA) est un mécanisme simple et efficace pour renforcer votre sécurité. Le premier facteur, votre mot de passe, est un secret que vous mémorisez, également appelé facteur de connaissance. Les autres facteurs peuvent être des facteurs liés à la possession (quelque chose que vous possédez, comme une clé de sécurité) ou des facteurs inhérents (quelque chose que vous êtes, comme un scan biométrique). Pour une sécurité accrue, nous vous recommandons vivement de configurer l'authentification multifactorielle (MFA) afin de protéger AWS vos ressources.
**Note**
Tous les Compte AWS types (comptes autonomes, de gestion et comptes membres) nécessitent que l'authentification MFA soit configurée pour leur utilisateur root. Les utilisateurs doivent enregistrer le MFA dans les 35 jours suivant leur première tentative de connexion pour accéder au si le AWS Management Console MFA n'est pas déjà activé.
Vous pouvez activer le MFA pour les utilisateurs Utilisateur racine d'un compte AWS et IAM. Lorsque vous activez la MFA pour l’utilisateur racine, cela n’affecte que les informations d’identification de l’utilisateur racine. Pour en savoir plus sur l’activation de la MFA pour les utilisateurs IAM, consultez [AWS Authentification multifactorielle dans IAM](id_credentials_mfa.md).
**Note**
Comptes AWS L'utilisation gérée AWS Organizations peut avoir la possibilité de [gérer de manière centralisée l'accès root aux](id_root-user.md#id_root-user-access-management) comptes des membres afin d'empêcher la récupération des informations d'identification et l'accès à grande échelle. Si cette option est activée, vous pouvez supprimer les informations d’identification de l’utilisateur racine des comptes membres, y compris les mots de passe et l’authentification multifactorielle (MFA), empêchant ainsi efficacement la connexion en tant qu’utilisateur racine, la récupération du mot de passe ou la configuration de la MFA. Si vous préférez conserver les méthodes de connexion par mot de passe, sécurisez votre compte en enregistrant l’authentification multifactorielle (MFA) afin de renforcer la protection de votre compte.
Avant d’activer la MFA pour votre utilisateur racine, vérifiez et [mettez à jour les paramètres de votre compte et les informations de contact](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) pour vous assurer que vous avez accès à l’adresse e-mail et au numéro de téléphone. Si votre dispositif MFA est perdu, volé ou ne fonctionne pas, vous pouvez toujours vous connecter en tant qu'utilisateur racine en vérifiant votre identité à l'aide de cet e-mail et de ce numéro de téléphone. Pour en savoir plus sur la connexion à l'aide d'autres facteurs d'authentification, consultez [Restauration d’une identité protégée par MFA dans IAM](id_credentials_mfa_lost-or-broken.md). Pour désactiver cette fonction, contactez [AWS Support](https://console.aws.amazon.com/support/home#/).
AWS prend en charge les types de MFA suivants pour votre utilisateur root :
+ [Clés d’accès et clés de sécurité](#passkeys-security-keys-for-root)
+ [Applications d’authentification virtuelle](#virtual-auth-apps-for-root)
+ [Jetons TOTP matériels](#hardware-totp-token-for-root)
## Clés d’accès et clés de sécurité
Gestion des identités et des accès AWS prend en charge les clés d'accès et les clés de sécurité pour la MFA. Basées sur les normes FIDO, les clés d'accès utilisent la cryptographie à clé publique pour fournir une authentification solide, résistante au hameçonnage et plus sécurisée que les mots de passe. AWS prend en charge deux types de clés d'accès : les clés d'accès liées à l'appareil (clés de sécurité) et les clés d'accès synchronisées.
+ **Clés de sécurité** : il s'agit de périphériques physiques YubiKey, tels que a, utilisés comme deuxième facteur d'authentification. Une clé de sécurité unique peut prendre en charge plusieurs comptes utilisateur racine et utilisateurs IAM.
+ **Clés d’accès synchronisées** : elles utilisent des gestionnaires d’informations d’identification provenant de fournisseurs tels que Google, Apple, Microsoft et de services tiers tels que 1Password, Dashlane et Bitwarden comme deuxième facteur.
Vous pouvez utiliser des authentificateurs biométriques intégrés, tels que Touch ID sur Apple MacBooks, pour déverrouiller votre gestionnaire d'identifiants et vous y connecter. AWS Les clés d’accès sont créées avec le fournisseur de votre choix à l’aide de votre empreinte digitale, de votre visage ou du code PIN de votre appareil. Vous pouvez utiliser une clé d’accès d’authentification entre appareils (CDA) provenant d’un appareil, comme un appareil mobile ou une clé de sécurité matérielle, pour vous connecter sur un autre appareil, tel qu’un ordinateur portable. Pour plus d’informations, consultez [Authentification entre appareils](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).
Vous pouvez synchroniser les clés d'accès sur tous vos appareils pour faciliter les connexions et améliorer la convivialité AWS et la récupérabilité. Pour plus d’informations sur l’activation des clés d’accès et des clés de sécurité, consultez [Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console)](enable-fido-mfa-for-root.md).
La FIDO Alliance tient à jour une liste de tous les [produits certifiés FIDO](https://fidoalliance.org/certification/fido-certified-products/) qui sont compatibles avec les spécifications FIDO.
## Applications d’authentification virtuelle
Une application d’authentification virtuelle s’exécute sur un téléphone ou un autre dispositif et émule un dispositif physique. Les applications d'authentification virtuelle mettent en œuvre l'algorithme TOTP ([mot de passe unique à durée limitée](https://datatracker.ietf.org/doc/html/rfc6238)) et prennent en charge plusieurs jetons sur un seul dispositif. L’utilisateur doit saisir un code valide à partir du dispositif lorsqu’il y est invité lors de la connexion. Chaque jeton attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code provenant du jeton d’un autre utilisateur pour s’authentifier.
Nous vous recommandons d'utiliser un dispositif MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou pendant que vous attendez de recevoir votre matériel. Pour obtenir une liste des applications que vous pouvez utiliser comme dispositifs MFA virtuels, consultez [Authentification multifactorielle (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Pour obtenir des instructions sur la configuration d'un périphérique MFA virtuel avec AWS, voir. [Activation d’un dispositif MFA virtuel pour l’utilisateur racine (console)](enable-virt-mfa-for-root.md)
## Jetons TOTP matériels
Un dispositif matériel qui génère un code numérique à six chiffres basé sur l’[algorithme TOTP (mot de passe unique à durée limitée)](https://datatracker.ietf.org/doc/html/rfc6238). L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion. Chaque dispositif MFA attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d’informations sur les dispositifs MFA matériels pris en charge, consultez [Authentification multifactorielle (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Pour plus d'informations sur la configuration d'un jeton TOTP matériel avec AWS, consultez [Activation d'un jeton TOTP matériel pour l'utilisateur root de l' (console)](enable-hw-mfa-for-root.md).
Si vous souhaitez utiliser un dispositif MFA physique, nous vous recommandons d’utiliser les clés de sécurité FIDO comme alternative aux périphériques TOTP matériels. Les clés de sécurité FIDO offrent les avantages de ne pas nécessiter de batterie, de résister au hameçonnage et de prendre en charge plusieurs utilisateurs racine et utilisateurs IAM sur un seul appareil pour une sécurité renforcée.
**Topics**
+ [Clés d’accès et clés de sécurité](#passkeys-security-keys-for-root)
+ [Applications d’authentification virtuelle](#virtual-auth-apps-for-root)
+ [Jetons TOTP matériels](#hardware-totp-token-for-root)
+ [Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console)](enable-fido-mfa-for-root.md)
+ [Activation d’un dispositif MFA virtuel pour l’utilisateur racine (console)](enable-virt-mfa-for-root.md)
+ [Activation d'un jeton TOTP matériel pour l'utilisateur root de l' (console)](enable-hw-mfa-for-root.md)
# Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console)
Vous pouvez configurer et activer une clé d'accès pour votre utilisateur root AWS Management Console uniquement, et non depuis l' AWS API AWS CLI or.
**Pour activer une clé d’accès ou une clé de sécurité pour l’utilisateur racine (console)**
1. Ouvrez la [console de gestion AWS](https://console.aws.amazon.com/) et connectez-vous à l’aide de vos informations d’identification d’utilisateur racine.
Pour obtenir des instructions, voir [Se connecter en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) dans le *guide de Connexion à AWS l'utilisateur*.
1. À droite de la barre de navigation, choisissez le nom de votre compte, et cliquez sur **Security credentials** (Informations d'identification de sécurité).
![\[Informations d'identification de sécurité dans le menu de navigation\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Sur la page **Mes informations d’identification de sécurité** de votre utilisateur racine, sous **Authentification multifactorielle (MFA)**, choisissez **Attribuer un dispositif MFA**.
1. Sur la page **Nom du dispositif MFA**, saisissez un **Nom du dispositif**, choisissez **Clé d’accès ou Clé de sécurité**, puis choisissez **Suivant**.
1. Dans **Configurer le dispositif**, configurez votre clé d’accès. Créez une clé d’accès avec des données biométriques telles que votre visage ou votre empreinte digitale, avec le code PIN d’un appareil, ou en insérant la clé de sécurité FIDO dans le port USB de votre ordinateur et en la touchant.
1. Suivez les instructions de votre navigateur pour choisir un fournisseur de clé d’accès ou l’endroit où vous souhaitez stocker votre clé d’accès afin de l’utiliser sur tous vos dispositifs.
1. Sélectionnez **Continuer**.
Vous avez maintenant enregistré votre clé d'accès pour l'utiliser avec AWS. La prochaine fois que vous utiliserez vos informations d’identification d’utilisateur racine pour vous connecter, vous devrez vous authentifier à l’aide de votre clé d’accès pour terminer le processus de connexion.
Pour obtenir de l’aide afin de résoudre les problèmes liés à votre clé de sécurité FIDO, consultez [Résolution des problèmes liés aux clés d’accès et aux clés de sécurité FIDO](troubleshoot_mfa-fido.md).
# Activation d’un dispositif MFA virtuel pour l’utilisateur racine (console)
Vous pouvez utiliser le AWS Management Console pour configurer et activer un périphérique MFA virtuel pour votre utilisateur root. Pour activer les appareils MFA pour le Compte AWS, vous devez être connecté à l' AWS aide de vos informations d'identification d'utilisateur root.
**Pour configurer et activer un dispositif MFA virtuel à utiliser avec votre utilisateur racine (console)**
1. Ouvrez la [console de gestion AWS](https://console.aws.amazon.com/) et connectez-vous à l’aide de vos informations d’identification d’utilisateur racine.
Pour obtenir des instructions, voir [Se connecter en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) dans le *guide de Connexion à AWS l'utilisateur*.
1. À droite de la barre de navigation, choisissez le nom de votre compte, et cliquez sur **Security credentials** (Informations d'identification de sécurité).
![\[Informations d'identification de sécurité dans le menu de navigation\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Dans la section **Multi-Factor Authentication (MFA)** (Authentification multifactorielle (MFA)), sélectionnez **Assign MFA device** (Attribuer un dispositif MFA).
1. Dans l'assistant, saisissez un nom dans le champ **Nom du dispositif**, sélectionnez **Application Authenticator**, puis cliquez sur **Suivant**.
IAM génère et affiche les informations de configuration du dispositif MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des dispositifs qui ne prennent pas en charge les codes QR.
1. Ouvrez l'application MFA virtuelle sur l'appareil.
Si l'application MFA virtuelle prend en charge plusieurs comptes ou plusieurs dispositifs MFA virtuels, choisissez l'option permettant de créer un compte ou un dispositif MFA virtuel.
1. La manière la plus simple de configurer l'application consiste à utiliser l'application pour analyser le code QR. Si vous ne pouvez pas analyser le code, vous pouvez saisir les informations de configuration manuellement. Le code QR et la clé de configuration secrète générés par IAM sont liés à votre compte Compte AWS et ne peuvent pas être utilisés avec un autre compte. En revanche, ils peuvent être réutilisés pour configurer un nouveau dispositif MFA pour votre compte si vous perdez l'accès au dispositif MFA d'origine.
+ Pour utiliser le code QR pour configurer le dispositif MFA virtuel, dans l'assistant, choisissez **Show QR code (Afficher le code QR)**. Ensuite, suivez les instructions de l'application pour scanner le code. Par exemple, vous pouvez avoir besoin de choisir l'icône de caméra ou une commande similaire à **Scan account barcode (Analyser le code-barres du compte)**, puis d'utiliser la caméra du périphérique pour analyser le code QR.
+ Dans l'assistant **Set up device** (Configurer le dispositif), sélectionnez **Show secret key** (Afficher la clé secrète), puis saisissez la clé secrète dans votre application MFA.
**Important**
Faites une sauvegarde sécurisée du code QR ou de la clé de configuration secrète ou assurez-vous d'activer plusieurs dispositifs MFA pour votre compte. Vous pouvez enregistrer jusqu'à **huit** appareils MFA de n'importe quelle combinaison des [types de MFA actuellement pris en charge auprès de vos Utilisateur racine d'un compte AWS utilisateurs et de ceux](https://aws.amazon.com/iam/features/mfa/) d'IAM. Un dispositif MFA virtuel peut devenir indisponible, par exemple, si vous perdez le smartphone hébergeant le dispositif MFA virtuel. Si cela se produit et que vous ne parvenez pas à vous connecter à votre compte sans autre dispositif MFA associé à l'utilisateur ou même d'après [Récupération d'un dispositif MFA d'utilisateur racine](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken), vous ne pourrez pas vous connecter à votre compte et vous devrez [contacter le service client](https://support.aws.amazon.com/#/contacts/aws-mfa-support) pour supprimer la protection MFA du compte.
Le périphérique commence à générer des numéros à six chiffres.
1. Dans l'assistant, dans la zone **MFA Code 1** (Code MFA 1), saisissez le mot de passe unique qui s'affiche actuellement sur le dispositif MFA virtuel. Attendez jusqu'à 30 secondes pour que le dispositif génère un nouveau mot de passe unique. Saisissez ensuite le second mot de passe unique dans la zone **MFA Code 2 (Code MFA 2)**. Choisissez **Add MFA** (Ajouter un dispositif MFA).
**Important**
Envoyez votre demande immédiatement après avoir généré le code. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le dispositif MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez [resynchroniser le dispositif](id_credentials_mfa_sync.md).
L'appareil est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'interface AWS Management Console, veuillez consulter [Connexion compatible avec la MFA](console_sign-in-mfa.md).
# Activation d'un jeton TOTP matériel pour l'utilisateur root de l' (console)
Vous pouvez configurer et activer un dispositif MFA physique pour votre utilisateur root AWS Management Console uniquement, et non à partir de l'API AWS CLI or AWS .
**Note**
Il se peut que vous remarquiez des textes différents, tels que **se connecter à l'aide de MFA** et **dépanner votre dispositif d'authentification**. Toutefois, les mêmes fonctions sont fournies. Dans les deux cas, si vous ne pouvez pas vérifier l’adresse e-mail et le numéro de téléphone de votre compte en utilisant d’autres facteurs d’authentification, contactez [AWS Support](https://aws.amazon.com/forms/aws-mfa-support) pour supprimer votre configuration de MFA.
**Pour activer un jeton TOTP matériel pour votre propre utilisateur racine (console)**
1. Ouvrez la [console de gestion AWS](https://console.aws.amazon.com/) et connectez-vous à l’aide de vos informations d’identification d’utilisateur racine.
Pour obtenir des instructions, voir [Se connecter en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) dans le *guide de Connexion à AWS l'utilisateur*.
1. À droite de la barre de navigation, choisissez le nom de votre compte, et cliquez sur **Security credentials** (Informations d'identification de sécurité).
![\[Informations d'identification de sécurité dans le menu de navigation\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Développez la section **Multi-factor authentication (MFA) (authentification multifactorielle (MFA))**.
1. Choisissez **Assign MFA device** (Attribuer un dispositif MFA).
1. Dans l'assistant, tapez le **nom du dispositif**, choisissez **Hardware TOTP token** (Jeton TOTP matériel), puis **Next** (Suivant).
1. Dans la zone **Numéro de série**, saisissez le numéro de série qui se trouve à l'arrière du dispositif MFA.
1. Dans la zone **MFA code 1**, saisissez le code à six chiffres qui s'affichent sur le dispositif MFA. Vous devrez peut-être appuyer sur le bouton situé à l'avant du périphérique pour afficher le numéro.
![\[Tableau de bord IAM, dispositif MFA\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/MFADevice.png)
1. Attendez 30 secondes que le périphérique actualise le code, puis saisissez la nouvelle série de six chiffres dans la zone **MFA code 2**. Vous devrez peut-être appuyer à nouveau sur le bouton situé à l'avant du périphérique pour afficher le second numéro.
1. Choisissez **Add MFA** (Ajouter un dispositif MFA). Le dispositif MFA est à présent associé au Compte AWS.
**Important**
Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez [resynchroniser le dispositif](id_credentials_mfa_sync.md).
La prochaine fois que vous utiliserez les informations d'identification d'utilisateur racine, vous devrez saisir un code du dispositif MFA.
# Changez le mot de passe du Utilisateur racine d'un compte AWS
Vous pouvez modifier l'adresse e-mail et le mot de passe à partir de la page [Informations d'identification](https://console.aws.amazon.com/iam/home?#security_credential) ou de la page **Compte**. Vous pouvez également choisir **Mot de passe oublié ?** sur la page de AWS connexion pour réinitialiser votre mot de passe.
Pour modifier le mot de passe de l'utilisateur root, vous devez vous connecter en tant qu'utilisateur Utilisateur racine d'un compte AWS et non en tant qu'utilisateur IAM. Pour savoir comment réinitialiser un mot de passe d'utilisateur racine *oublié*, veuillez consulter [Réinitialisation d’un mot de passe d’utilisateur racine perdu ou oublié](reset-root-password.md).
Pour protéger votre mot de passe, il est important de respecter les bonnes pratiques suivantes :
+ Modifiez régulièrement votre mot de passe.
+ Gardez votre mot de passe confidentiel, car toute personne qui le connaît peut accéder à votre compte.
+ Utilisez un mot de passe différent AWS de celui que vous utilisez sur d'autres sites.
+ Evitez les mots de passe trop faciles à deviner, notamment : `secret`, `password`, `amazon` ou `123456`. Évitez également les mots du dictionnaire, votre nom, votre adresse électronique ou d'autres informations personnelles que quelqu'un pourrait facilement obtenir.
**Important**
Comptes AWS géré à l'aide d'un [accès root centralisé AWS Organizations](id_root-user.md#id_root-user-access-management) peut être activé pour les comptes des membres. Ces comptes membres ne disposent pas d’informations d’identification de l’utilisateur racine, ne peuvent pas se connecter en tant qu’utilisateur racine et ne peuvent pas récupérer le mot de passe de l’utilisateur racine. Contactez votre administrateur si vous devez effectuer une tâche qui nécessite les informations d’identification de l’utilisateur racine.
------
#### [ AWS Management Console ]
**Pour changer le mot de passe de l'utilisateur racine**
**Autorisations minimales**
Pour effectuer les étapes suivantes, vous devez au moins disposer des autorisations IAM suivantes :
Vous devez vous connecter en tant qu'utilisateur Compte AWS root, ce qui ne nécessite aucune autorisation Gestion des identités et des accès AWS (IAM) supplémentaire. Vous ne pouvez pas effectuer ces étapes en tant qu'utilisateur ou rôle IAM.
1. Ouvrez la [console de gestion AWS](https://console.aws.amazon.com/) et connectez-vous à l’aide de vos informations d’identification d’utilisateur racine.
Pour obtenir des instructions, voir [Se connecter en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) dans le *guide de Connexion à AWS l'utilisateur*.
1. Dans le coin supérieur droit de la console, choisissez votre nom ou votre numéro de compte, puis sélectionnez **Informations d’identification de sécurité**.
1. Sur la page **Compte**, en regard de **Paramètres du compte**, choisissez **Modifier**. Pour des raisons de sécurité, vous êtes invité à vous réauthentifier.
**Note**
Si l'option **Modifier** ne s'affiche pas, il est probable que vous ne soyez pas connecté en tant qu'utilisateur root de votre compte. Vous ne pouvez pas modifier les paramètres du compte lorsque vous êtes connecté en tant qu'utilisateur ou rôle IAM.
1. Sur la page **Mettre à jour les paramètres du compte**, sous **Mot de passe**, sélectionnez **Modifier**.
1. Sur la page **Mettre à jour votre mot de passe**, remplissez les champs **Mot de passe actuel**, **Nouveau mot de passe** et **Confirmer le nouveau mot de passe**.
**Important**
Assurez-vous de choisir un mot de passe fort. Bien que vous puissiez définir une politique de mot de passe de compte pour les utilisateurs IAM, celle-ci ne s'applique pas à votre utilisateur root.
AWS nécessite que votre mot de passe remplisse les conditions suivantes :
+ Avoir un minimum de 8 caractères et un maximum de 128 caractères
+ Inclure au minimum trois des types de caractères suivants : majuscules, minuscules, chiffres, et les symboles \$1 @ \$1 \$1 % ^ & \$1 () <> [] \$1\$1 \$1 \$1 \$1 - =
+ Il ne doit pas être identique à votre Compte AWS nom ou à votre adresse e-mail.
1. Sélectionnez **Enregistrer les modifications**.
------
#### [ AWS CLI or AWS SDK ]
Cette tâche n'est pas prise en charge dans AWS CLI ou par une opération d'API provenant de l'un des AWS SDKs. Vous ne pouvez effectuer cette tâche qu'à l'aide du AWS Management Console.
------
# Réinitialisation d’un mot de passe d’utilisateur racine perdu ou oublié
Lorsque vous avez créé votre Compte AWS, vous avez fourni une adresse e-mail et un mot de passe. Voici vos Utilisateur racine d'un compte AWS informations d'identification. Si vous oubliez votre mot de passe utilisateur racine, vous pouvez le réinitialiser à partir de la AWS Management Console.
Comptes AWS géré à l'aide d'un [accès root centralisé AWS Organizations](id_root-user.md#id_root-user-access-management) peut être activé pour les comptes des membres. Ces comptes membres ne disposent pas d’informations d’identification de l’utilisateur racine, ne peuvent pas se connecter en tant qu’utilisateur racine et ne peuvent pas récupérer le mot de passe de l’utilisateur racine. Contactez votre administrateur si vous devez effectuer une tâche qui nécessite les informations d’identification de l’utilisateur racine.
**Important**
**Vous rencontrez des difficultés pour vous connecter à AWS ?** Assurez-vous que vous êtes sur la bonne [page de connexion AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) pour votre type d'utilisateur. Si vous êtes le Utilisateur racine d'un compte AWS (propriétaire du compte), vous pouvez vous connecter à AWS l'aide des informations d'identification que vous avez définies lors de la création du Compte AWS. Si vous êtes un utilisateur IAM, votre administrateur de compte peut vous fournir les informations d'identification que vous pouvez utiliser pour vous connecter à AWS. Si vous avez besoin d'assistance, n'utilisez pas le lien de commentaires sur cette page, car le formulaire est reçu par l'équipe de AWS documentation, non Support. Sur la page [Contactez-nous](https://aws.amazon.com/contact-us/), sélectionnez **Impossible de vous connecter à votre AWS compte**, puis choisissez l'une des options d'assistance disponibles.
**Pour réinitialiser votre mot de passe utilisateur racine**
1. Ouvrez la [console de gestion AWS](https://console.aws.amazon.com/) et connectez-vous à l’aide de vos informations d’identification d’utilisateur racine.
Pour obtenir des instructions, voir [Se connecter en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) dans le *guide de Connexion à AWS l'utilisateur*.
**Note**
Si vous vous êtes connecté à [AWS Management Console](https://console.aws.amazon.com/) avec des informations d'identification d'*utilisateur IAM*, vous devez vous déconnecter pour pouvoir réinitialiser le mot de passe utilisateur racine. Si la page de connexion utilisateur IAM spécifique au compte s'affiche, choisissez **Identifiez-vous à l'aide de vos informations de connexion au compte racine** située près du bas de la page. Si nécessaire, fournissez l'adresse e-mail de votre compte et choisissez **Next (Suivant)** pour accéder à la page **Root user sign in (Connexion de l'utilisateur racine)**.
1. Choisissez **Forgot your password? (Mot de passe oublié ?)**.
**Note**
Si vous êtes un utilisateur IAM, cette option n'est pas disponible. L'option **Mot de passe oublié ?** n'est disponible que pour le compte utilisateur root. Les utilisateurs IAM doivent demander à leur administrateur de réinitialiser un mot de passe oublié. Pour plus d'informations, voir [J'ai oublié le mot de passe utilisateur IAM associé à mon AWS compte](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password). Si vous vous connectez via le portail AWS d'accès, consultez [Réinitialisation de votre mot de passe utilisateur IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html).
1. Indiquez l'adresse e-mail associée au compte. Indiquez ensuite le texte CAPTCHA et choisissez **Continue (Continuer)**.
1. Vérifiez que l'e-mail qui vous est associé ne contient Compte AWS pas de message provenant d'Amazon Web Services. L'e-mail peut provenir d'une adresse se terminant par dans `@verify.signin.aws`. Suivez les instructions de l'e-mail. Si vous ne voyez pas l'e-mail dans votre compte, vérifiez le dossier des courriers indésirables. Si vous n'avez plus accès à l'e-mail, consultez la section [Je n'ai pas accès à l'e-mail associé à mon AWS compte](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console) dans le *guide de Connexion à AWS l'utilisateur*.
# Création de clés d’accès pour l’utilisateur racine
**Avertissement**
Nous vous recommandons vivement de ne **pas** créer de paires de clés d'accès pour votre utilisateur root. Étant donné [que seules quelques tâches nécessitent l'utilisateur root](id_root-user.md#root-user-tasks) et que vous les effectuez généralement rarement, nous vous recommandons de vous connecter au AWS Management Console pour effectuer les tâches de l'utilisateur root. Avant de créer des clés d'accès, passez en revue les [alternatives aux clés d'accès à long terme](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).
Bien que cela ne soit pas recommandé, vous pouvez créer des clés d'accès pour votre utilisateur root afin de pouvoir exécuter des commandes dans le AWS Command Line Interface (AWS CLI) ou utiliser des opérations d'API à partir de l' AWS SDKs un des identifiants utilisateur root. Lorsque vous créez des clés d'accès, vous créez l'ID de clé d'accès et la clé d'accès secrète sous forme d'ensemble. Lors de la création de la clé AWS d'accès, vous avez la possibilité de visualiser et de télécharger la partie clé d'accès secrète de la clé d'accès. Si vous ne la téléchargez pas ou si vous la perdez, vous pouvez supprimez la clé d'accès, puis en créer une nouvelle. Vous pouvez créer des clés d'accès utilisateur root à l'aide de la console ou de AWS l'API. AWS CLI
Une clé d'accès nouvellement créée a le statut *active*, ce qui signifie que vous pouvez l'utiliser pour les appels de CLI et d'API. Vous pouvez attribuer jusqu'à deux clés d'accès à l'utilisateur root.
Les clés d'accès qui ne sont pas utilisées doivent être désactivées. Lorsqu'une clé d'accès est inactive, vous ne pouvez pas l'utiliser pour les appels d'API. Les clés inactives comptent toujours dans votre limite. Vous pouvez créer ou supprimer une clé d'accès à tout moment. Toutefois, la suppression d'une clé d'accès est définitive et vous ne pourrez plus la récupérer.
------
#### [ AWS Management Console ]
**Pour créer une clé d'accès pour Utilisateur racine d'un compte AWS**
**Autorisations minimales**
Pour effectuer les étapes suivantes, vous devez au moins disposer des autorisations IAM suivantes :
Vous devez vous connecter en tant qu'utilisateur Compte AWS root, ce qui ne nécessite aucune autorisation Gestion des identités et des accès AWS (IAM) supplémentaire. Vous ne pouvez pas effectuer ces étapes en tant qu'utilisateur ou rôle IAM.
1. Ouvrez la [console de gestion AWS](https://console.aws.amazon.com/) et connectez-vous à l’aide de vos informations d’identification d’utilisateur racine.
Pour obtenir des instructions, voir [Se connecter en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) dans le *guide de Connexion à AWS l'utilisateur*.
1. Dans le coin supérieur droit de la console, choisissez votre nom ou votre numéro de compte, puis sélectionnez **Informations d'identification de sécurité**.
1. Dans la section **Clés d’accès**, choisissez **Créer une clé d’accès**. Si cette option n'est pas disponible, cela signifie que vous avez déjà atteint le nombre maximum de clés d'accès. Vous devez supprimer l'une des clés d'accès existantes avant de pouvoir créer une clé. Pour plus d'informations, veuillez consulter [Quotas d'objets IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
1. Sur la page **Alternatives aux clés d'accès d'utilisateur root**, passez en revue les recommandations de sécurité. Pour continuer, cochez la case, puis choisissez **Créer une clé d’accès**.
1. Sur la page **Récupérer la clé d'accès**, votre **ID de clé d'accès** est affiché.
1. Sous **Clé d'accès secrète**, choisissez **Afficher** puis copiez l'ID de la clé d'accès et la clé secrète dans la fenêtre de votre navigateur et collez-les dans un endroit sûr. Vous pouvez également choisir l'option **Télécharger un fichier .csv** qui téléchargera un fichier nommé `rootkey.csv` contenant l'ID de la clé d'accès et la clé secrète. Enregistrez le fichier à un endroit sûr.
1. Sélectionnez **Exécuté**. Lorsque vous n'avez plus besoin d'utiliser la clé d'accès, [nous vous recommandons de la supprimer](id_root-user_manage_delete-key.md), ou au moins d'envisager de la désactiver afin que personne ne puisse en abuser.
------
#### [ AWS CLI & SDKs ]
**Pour créer une clé d'accès pour l'utilisateur root**
**Note**
Pour exécuter la commande ou l'opération d'API suivante en tant qu'utilisateur root, vous devez déjà disposer d'une paire de clés d'accès active. Si vous n'avez aucune clé d'accès, créez la première clé d'accès à l'aide de l' AWS Management Console. Vous pouvez ensuite utiliser les informations d'identification de cette première clé d'accès avec le AWS CLI pour créer la deuxième clé d'accès ou pour supprimer une clé d'accès.
+ AWS CLI: [vison create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
**Example**
```
$ aws iam create-access-key
{
"AccessKey": {
"UserName": "MyUserName",
"AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
"Status": "Active",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"CreateDate": "2021-04-08T19:30:16+00:00"
}
}
```
+ AWS API : [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)dans la *référence d'API IAM*.
------
# Suppression d’une clé d’accès de l’utilisateur racine
Vous pouvez utiliser l' AWS Management Console API AWS CLI ou l' AWS API pour supprimer les clés d'accès de l'utilisateur root.
------
#### [ AWS Management Console ]
**Pour supprimer une clé d'accès de l'utilisateur root**
**Autorisations minimales**
Pour effectuer les étapes suivantes, vous devez au moins disposer des autorisations IAM suivantes :
Vous devez vous connecter en tant qu'utilisateur Compte AWS root, ce qui ne nécessite aucune autorisation Gestion des identités et des accès AWS (IAM) supplémentaire. Vous ne pouvez pas effectuer ces étapes en tant qu'utilisateur ou rôle IAM.
1. Ouvrez la [console de gestion AWS](https://console.aws.amazon.com/) et connectez-vous à l’aide de vos informations d’identification d’utilisateur racine.
Pour obtenir des instructions, voir [Se connecter en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) dans le *guide de Connexion à AWS l'utilisateur*.
1. Dans le coin supérieur droit de la console, choisissez votre nom ou votre numéro de compte, puis sélectionnez **Informations d'identification de sécurité**.
1. Dans la section **Clés d'accès**, sélectionnez la clé d'accès que vous souhaitez supprimer, puis sous **Actions**, choisissez **Supprimer**.
**Note**
Vous pouvez également **Désactiver** une clé d'accès au lieu de la supprimer définitivement. Vous pourrez ainsi la réutiliser ultérieurement sans avoir à modifier l'ID de clé ou la clé secrète. Lorsque la clé est inactive, toute tentative de l'utiliser dans les demandes adressées à l' AWS API échoue et l'accès est refusé en cas d'erreur.
1. Dans la boîte de dialogue **Supprimer **, choisissez **Désactiver**, saisissez l'ID de la clé d'accès pour confirmer que vous souhaitez la supprimer, puis choisissez **Supprimer**.
------
#### [ AWS CLI & SDKs ]
**Pour supprimer une clé d'accès de l'utilisateur root**
**Autorisations minimales**
Pour effectuer les étapes suivantes, vous devez au moins disposer des autorisations IAM suivantes :
Vous devez vous connecter en tant qu'utilisateur Compte AWS root, ce qui ne nécessite aucune autorisation Gestion des identités et des accès AWS (IAM) supplémentaire. Vous ne pouvez pas effectuer ces étapes en tant qu'utilisateur ou rôle IAM.
+ AWS CLI: [cime delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)
**Example**
```
$ aws iam delete-access-key \
--access-key-id AKIAIOSFODNN7EXAMPLE
```
Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
------
## Tâches nécessitant les informations d'identification de l'utilisateur root
Nous vous recommandons de [configurer un utilisateur administratif AWS IAM Identity Center pour effectuer les](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) tâches quotidiennes et accéder aux AWS ressources. Toutefois, vous ne pouvez effectuer les tâches énumérées ci-dessous que si vous vous connectez en tant qu'utilisateur root d'un compte.
Pour simplifier la gestion des informations d'identification des utilisateurs root privilégiés sur les comptes des membres AWS Organizations, vous pouvez activer l'accès root centralisé pour vous aider à sécuriser de manière centralisée un accès hautement privilégié à votre Comptes AWS. [Gestion centralisée de l’accès root pour les comptes membres](#id_root-user-access-management)vous permet de supprimer de manière centralisée et d'empêcher la restauration à long terme des informations d'identification des utilisateurs root, améliorant ainsi la sécurité des comptes au sein de votre entreprise. Après avoir activé cette fonctionnalité, vous pouvez effectuer les tâches privilégiées suivantes sur les comptes membres.
+ Supprimez les informations d’identification de l’utilisateur racine du compte membre pour empêcher la restauration du compte de l’utilisateur racine. Vous pouvez également autoriser la récupération du mot de passe pour récupérer les informations d’identification de l’utilisateur racine pour un compte membre.
+ Supprimez une politique de compartiment mal configurée qui empêche tous les principaux d’accéder à un compartiment Amazon S3.
+ Supprimez une politique Amazon Simple Queue Service qui refuse à tous les principaux l’accès à une file d’attente Amazon SQS.
**Tâches de gestion de compte**
+ [Modifiez vos paramètres Compte AWS .](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) Les appareils autonomes Comptes AWS qui n'en font pas partie AWS Organizations nécessitent des informations d'identification root pour mettre à jour l'adresse e-mail, le mot de passe de l'utilisateur root et les clés d'accès de l'utilisateur root. Les autres paramètres du compte, tels que le nom du compte, les coordonnées, les contacts alternatifs, la devise de paiement préférée Régions AWS, ne nécessitent pas d'informations d'identification d'utilisateur root.
**Note**
AWS Organizations, avec toutes les fonctionnalités activées, peut être utilisé pour gérer les paramètres des comptes membres de manière centralisée à partir du compte de gestion et des comptes d’administration délégués. Les utilisateurs IAM autorisés ou les rôles IAM dans le compte de gestion et dans les comptes d'administrateur délégué peuvent fermer les comptes des membres et mettre à jour les adresses e-mail racine, les noms des comptes, les informations de contact, les contacts secondaires et les comptes Régions AWS des membres.
+ [Fermez votre Compte AWS.](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) Les appareils autonomes Comptes AWS qui n'en font pas partie AWS Organizations nécessitent des informations d'identification root pour fermer le compte. Avec AWS Organizations, vous pouvez fermer les comptes des membres de manière centralisée depuis le compte de gestion et les comptes d'administration délégués.
+ [Restaurer les autorisations de l'utilisateur IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) Si un utilisateur IAM révoque accidentellement ses propres autorisations, vous pouvez vous connecter en tant qu'utilisateur root pour modifier les politiques et restaurer ces autorisations.
**Tâches de facturation**
+ [Activer l'accès IAM à la console de gestion de la facturation et des coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate).
+ Certaines tâches de facturation sont limitées à l’utilisateur racine. Consultez le guide de [gestion Compte AWS d'un](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html) AWS Billing utilisateur intégré pour plus d'informations.
+ Afficher certaines factures fiscales. Un utilisateur IAM disposant de l'ViewBillingautorisation [aws-portal :](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) peut consulter et télécharger les factures de TVA depuis AWS l'Europe, mais pas depuis AWS Inc. ou Amazon Internet Services Private Limited (AISPL).
**AWS GovCloud (US) Tâches**
+ [Inscrivez-vous à AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html).
+ Demandez les clés d'accès de l'utilisateur root au AWS GovCloud (US) compte auprès de AWS Support.
**Tâches Amazon EC2**
+ [Inscrit en tant que vendeur](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html) sur le Marketplace des instances réservées.
**AWS KMS Tâche**
+ Si une AWS Key Management Service clé devient ingérable, un administrateur peut la récupérer en contactant Support ; toutefois, il Support répond au numéro de téléphone principal de votre utilisateur root pour obtenir l'autorisation en confirmant le ticket OTP.
**Tâche Amazon Mechanical Turk**
+ [Associez votre compte Compte AWS à votre compte MTurk demandeur.](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking)
**Tâches Amazon Simple Storage Service**
+ [Configurer un compartiment Amazon S3 pour activer MFA (authentification multifactorielle)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html).
+ [Modifier ou supprimer une politique de compartiment Amazon S3 qui refuse tous les principaux](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/).
Vous pouvez utiliser des actions privilégiées pour déverrouiller un compartiment Amazon S3 dont la politique de compartiment est mal configurée. Pour en savoir plus, consultez [Réaliser une tâche privilégiée sur un compte AWS Organizations membre](id_root-user-privileged-task.md).
**Tâche Amazon Simple Queue Service**
+ [Modifier ou supprimer une politique de ressources Amazon SQS qui refuse tous les principaux](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy).
Vous pouvez utiliser des actions privilégiées pour déverrouiller une file d’attente Amazon SQS dont la politique basée sur les ressources est mal configurée. Pour en savoir plus, consultez [Réaliser une tâche privilégiée sur un compte AWS Organizations membre](id_root-user-privileged-task.md).
## Ressources supplémentaires
Pour plus d'informations sur l'utilisateur AWS root, consultez les ressources suivantes :
+ Pour obtenir de l’aide sur les problèmes liés aux utilisateurs racine, consultez [Résolution de problèmes relatifs à l’utilisateur racine](troubleshooting_root-user.md).
+ Pour gérer de manière centralisée les adresses e-mail des utilisateurs root dans AWS Organizations, consultez [la section Mise à jour de l'adresse e-mail de l'utilisateur root pour un compte membre](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) dans le *guide de AWS Organizations l'utilisateur*.
Les articles suivants fournissent des informations supplémentaires sur l'utilisation de l'utilisateur root.
+ [Quelles sont les meilleures pratiques pour sécuriser mes ressources Compte AWS et les siennes ?](https://repost.aws/knowledge-center/security-best-practices)
+ [Comment créer une règle d' EventBridge événement pour m'avertir que mon utilisateur root a été utilisé ?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule)
+ [Surveiller et notifier l' Utilisateur racine d'un compte AWS activité](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/)
+ [Surveiller l'activité de l'utilisateur root IAM](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)