Kelola akses root untuk akun anggota secara terpusat Sumber daya tambahan Tugas yang memerlukan kredensial pengguna root Informasi terkait

Pengguna root akun AWS

Saat pertama kali membuat akun Amazon Web Services (AWS), alamat email dan kata sandi yang Anda berikan adalah kredensyal untuk pengguna root Anda, yang memiliki akses ke semua AWS layanan dan sumber daya di akun.

Gunakan pengguna root hanya untuk melakukan tugas-tugas yang memerlukan izin tingkat root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihatTugas yang memerlukan kredensial pengguna root.
Ikuti praktik terbaik pengguna root untuk Anda Akun AWS.
Jika Anda mengalami masalah saat masuk, lihat Masuk ke AWS Management Console.

Saat pertama kali membuat akun Amazon Web Services (AWS), Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua AWS layanan dan sumber daya di akun. Identitas ini disebut pengguna root AWS akun dan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun.

penting

Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari Anda dan Anda mengikuti praktik terbaik pengguna root untuk Anda Akun AWS. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihatTugas yang memerlukan kredensial pengguna root.

Meskipun MFA diberlakukan untuk pengguna root secara default, ini memerlukan tindakan pelanggan untuk ditambahkan MFA selama pembuatan akun awal atau seperti yang diminta saat masuk. Untuk informasi selengkapnya tentang penggunaan MFA untuk melindungi pengguna root, lihatOtentikasi multi-faktor untuk Pengguna root akun AWS.

Kelola akses root untuk akun anggota secara terpusat

Untuk membantu Anda mengelola kredensyal dalam skala besar, Anda dapat secara terpusat mengamankan akses ke kredensyal pengguna root untuk akun anggota. AWS Organizations Ketika Anda mengaktifkan AWS Organizations, Anda menggabungkan semua AWS akun Anda ke dalam organisasi untuk manajemen pusat. Memusatkan akses root memungkinkan Anda menghapus kredensi pengguna root dan melakukan tugas-tugas istimewa berikut pada akun anggota.

Hapus kredensi pengguna root akun anggota: Setelah Anda memusatkan akses root untuk akun anggota, Anda dapat memilih untuk menghapus kredensyal pengguna root dari akun anggota di Organizations Anda. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (). MFA Akun baru yang Anda buat di Organizations tidak memiliki kredensi pengguna root secara default. Akun anggota tidak dapat masuk ke pengguna root mereka atau melakukan pemulihan kata sandi untuk pengguna root mereka kecuali pemulihan akun diaktifkan.
Lakukan tugas istimewa yang memerlukan kredensi pengguna root: Beberapa tugas hanya dapat dilakukan ketika Anda masuk sebagai pengguna root akun. Beberapa di antaranya Tugas yang memerlukan kredensial pengguna root dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan untukIAM. Untuk mempelajari lebih lanjut tentang mengambil tindakan istimewa pada akun anggota, lihatLakukan tugas istimewa.
Aktifkan pemulihan akun pengguna root: Jika Anda perlu memulihkan kredensi pengguna root untuk akun anggota, akun manajemen Organisasi atau administrator yang didelegasikan dapat melakukan tugas istimewa Izinkan pemulihan kata sandi. Orang yang memiliki akses ke kotak masuk email pengguna root untuk akun anggota dapat mengatur ulang kata sandi pengguna root untuk memulihkan kredensyal pengguna root. Sebaiknya hapus kredensi pengguna root setelah Anda menyelesaikan tugas yang memerlukan akses ke pengguna root.

Sumber daya tambahan

Untuk informasi selengkapnya tentang pengguna AWS root, lihat sumber daya berikut:

Untuk bantuan terkait masalah pengguna root, lihatMemecahkan masalah dengan pengguna root.
Untuk mengelola alamat email pengguna root secara terpusat di Organizations, lihat Memperbarui alamat email pengguna root untuk akun anggota di Panduan AWS Organizations Pengguna.

Tugas yang memerlukan kredensial pengguna root

Kami menyarankan Anda mengonfigurasi pengguna administratif AWS IAM Identity Center untuk melakukan tugas sehari-hari dan mengakses AWS sumber daya. Namun, Anda dapat melakukan tugas yang tercantum di bawah ini hanya saat masuk sebagai pengguna root akun.

Untuk menyederhanakan pengelolaan kredensyal pengguna root istimewa di seluruh akun anggota di AWS Organizations, Anda dapat mengaktifkan akses root terpusat untuk membantu Anda mengamankan akses yang sangat istimewa secara terpusat ke akun Anda. Akun AWSKelola akses root untuk akun anggota secara terpusatmemungkinkan Anda menghapus dan mencegah pemulihan kredensi pengguna root jangka panjang secara terpusat, meningkatkan keamanan akun di organisasi Anda. Setelah mengaktifkan fitur ini, Anda dapat melakukan tugas istimewa berikut di akun anggota.

Hapus kredensi pengguna root akun anggota untuk mencegah pemulihan akun pengguna root. Anda juga dapat mengizinkan pemulihan kata sandi untuk memulihkan kredensi pengguna root untuk akun anggota.
Hapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
Hapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon. SQS

Tugas Manajemen Akun

Ubah pengaturan akun Anda. Ini mencakup nama akun, alamat email, kata sandi pengguna root, dan access key pengguna root. Pengaturan akun lainnya, seperti informasi kontak, preferensi mata uang pembayaran, dan Wilayah AWS, tidak memerlukan kredensi pengguna root.
Kembalikan izin IAM pengguna. Jika satu-satunya IAM administrator secara tidak sengaja mencabut izin mereka sendiri, Anda dapat masuk sebagai pengguna root untuk mengedit kebijakan dan memulihkan izin tersebut.
Tutup Anda Akun AWS.

Untuk informasi selengkapnya, lihat topik berikut.

Tugas Penagihan

Aktifkan IAM akses ke konsol Billing and Cost Management.
Beberapa tugas Penagihan terbatas pada pengguna root. Lihat Mengelola Panduan AWS Billing Pengguna Akun AWS di untuk informasi selengkapnya.
Lihat faktur pajak tertentu. IAMPengguna dengan aws-portal: ViewBilling izin dapat melihat dan mengunduh VAT faktur dari AWS Eropa, tetapi tidak Inc. atau AWS Amazon Internet Services Private Limited (AISPL).

AWS GovCloud (US) Tugas

Daftar AWS GovCloud (US).
Minta kunci akses pengguna root AWS GovCloud (US) akun dari AWS Dukungan.

EC2Tugas Amazon

Mendaftar sebagai penjual di Marketplace Instans Cadangan.

AWS KMS Tugas

Jika AWS Key Management Service kunci menjadi tidak dapat dikelola, administrator dapat memulihkannya dengan menghubungi Dukungan; Namun, Dukungan menanggapi nomor telepon utama pengguna root Anda untuk otorisasi dengan mengonfirmasi tiket. OTP

Tugas Amazon Mechanical Turk

Tautkan Anda Akun AWS ke akun MTurk Pemohon Anda.

Tugas Layanan Penyimpanan Sederhana Amazon

Konfigurasikan bucket Amazon S3 untuk mengaktifkan MFA (otentikasi multi-faktor).
Edit atau hapus kebijakan bucket Amazon S3 yang menyangkal semua prinsipal.

Anda dapat menggunakan tindakan istimewa untuk membuka kunci bucket Amazon S3 dengan kebijakan bucket yang salah dikonfigurasi. Untuk detailnya, lihat Lakukan tugas istimewa di akun AWS Organizations anggota.

Tugas Layanan Antrian Sederhana Amazon

Mengedit atau menghapus kebijakan SQS berbasis sumber daya Amazon yang menyangkal semua prinsipal.

Anda dapat menggunakan tindakan istimewa untuk membuka kunci SQS antrean Amazon dengan kebijakan berbasis sumber daya yang salah dikonfigurasi. Untuk detailnya, lihat Lakukan tugas istimewa di akun AWS Organizations anggota.

Informasi terkait

Artikel berikut memberikan informasi tambahan tentang bekerja dengan pengguna root.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Identitas

Memusatkan akses root