Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pengguna root akun AWS
<a name="id_root-user"></a>

Saat pertama kali membuat akun Amazon Web Services (AWS), Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua AWS layanan dan sumber daya di akun. Identitas ini disebut *pengguna root AWS * akun. Alamat email dan kata sandi yang Anda gunakan untuk membuat Akun AWS adalah kredensil yang Anda gunakan untuk masuk sebagai pengguna root Anda.
+ Gunakan pengguna root hanya untuk melakukan tugas-tugas yang memerlukan izin tingkat root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat[Tugas yang memerlukan kredensial pengguna root](#root-user-tasks). 
+ Ikuti [praktik terbaik pengguna root untuk Anda Akun AWS](root-user-best-practices.md).
+ Jika Anda mengalami masalah saat masuk, lihat [Masuk ke Konsol Manajemen AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html).

**penting**  
Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari Anda dan Anda mengikuti [praktik terbaik pengguna root untuk Anda Akun AWS](root-user-best-practices.md). Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat[Tugas yang memerlukan kredensial pengguna root](#root-user-tasks). 

Meskipun MFA diberlakukan untuk pengguna root secara default, MFA memerlukan tindakan pelanggan untuk menambahkan MFA selama pembuatan akun awal atau seperti yang diminta saat masuk. Untuk informasi selengkapnya tentang penggunaan MFA untuk melindungi pengguna root, lihat. [Otentikasi multi-faktor untuk Pengguna root akun AWS](enable-mfa-for-root.md)

## Kelola akses root untuk akun anggota secara terpusat
<a name="id_root-user-access-management"></a>

Untuk membantu Anda mengelola kredensi dalam skala besar, Anda dapat mengamankan akses ke kredensi pengguna root untuk akun anggota secara terpusat. AWS Organizations Ketika Anda mengaktifkan AWS Organizations, Anda menggabungkan semua AWS akun Anda ke dalam organisasi untuk manajemen pusat. Memusatkan akses root memungkinkan Anda menghapus kredensi pengguna root dan melakukan tugas-tugas istimewa berikut pada akun anggota.

**Hapus kredensi pengguna root akun anggota**  
Setelah Anda [memusatkan akses root untuk akun anggota](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), Anda dapat memilih untuk menghapus kredensyal pengguna root dari akun anggota di Organizations Anda. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA). Akun baru yang Anda buat di Organizations tidak memiliki kredensi pengguna root secara default. Akun anggota tidak dapat masuk ke pengguna root mereka atau melakukan pemulihan kata sandi untuk pengguna root mereka kecuali pemulihan akun diaktifkan.

**Lakukan tugas istimewa yang memerlukan kredensi pengguna root**  
Beberapa tugas hanya dapat dilakukan ketika Anda masuk sebagai pengguna root akun. Beberapa di antaranya [Tugas yang memerlukan kredensial pengguna root](#root-user-tasks) dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan untuk IAM. Untuk mempelajari lebih lanjut tentang mengambil tindakan istimewa pada akun anggota, lihat[Lakukan tugas istimewa](id_root-user-privileged-task.md).

**Aktifkan pemulihan akun pengguna root**  
Jika Anda perlu memulihkan kredensi pengguna root untuk akun anggota, akun manajemen Organisasi atau administrator yang didelegasikan dapat melakukan tugas istimewa **Izinkan pemulihan kata sandi**. Orang yang memiliki akses ke kotak masuk email pengguna root untuk akun anggota dapat [mengatur ulang kata sandi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) untuk memulihkan kredensyal pengguna root. Sebaiknya hapus kredensi pengguna root setelah Anda menyelesaikan tugas yang memerlukan akses ke pengguna root.

# Memusatkan akses root untuk akun anggota
<a name="id_root-enable-root-access"></a>

Kredensi pengguna root adalah kredenal awal yang ditetapkan untuk masing-masing Akun AWS yang memiliki akses lengkap ke semua AWS layanan dan sumber daya di akun. Ketika Anda mengaktifkan AWS Organizations, Anda menggabungkan semua AWS akun Anda ke dalam organisasi untuk manajemen pusat. Setiap akun anggota memiliki pengguna root sendiri dengan izin default untuk melakukan tindakan apa pun di akun anggota. Kami menyarankan Anda mengamankan kredenal pengguna root secara terpusat dari penggunaan yang Akun AWS dikelola AWS Organizations untuk mencegah pemulihan kredensi pengguna root dan akses dalam skala besar.

Setelah Anda memusatkan akses root, Anda dapat memilih untuk menghapus kredensi pengguna root dari akun anggota di organisasi Anda. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA). Akun baru yang Anda buat tidak AWS Organizations memiliki kredensi pengguna root secara default. Akun anggota tidak dapat masuk ke pengguna root mereka atau melakukan pemulihan kata sandi untuk pengguna root mereka.

**catatan**  
Sementara beberapa [Tugas yang memerlukan kredensial pengguna root](id_root-user.md#root-user-tasks) dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan untuk IAM, beberapa tugas hanya dapat dilakukan ketika Anda masuk sebagai pengguna root akun.  
Jika Anda perlu memulihkan kredensi pengguna root untuk akun anggota untuk melakukan salah satu tugas ini, ikuti langkah-langkahnya [Lakukan tugas istimewa](id_root-user-privileged-task.md) dan pilih **Izinkan pemulihan kata sandi**. Orang yang memiliki akses ke kotak masuk email pengguna root untuk akun anggota kemudian dapat mengikuti langkah-langkah untuk [mengatur ulang kata sandi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) dan masuk ke pengguna root akun anggota.  
 Sebaiknya hapus kredensi pengguna root setelah Anda menyelesaikan tugas yang memerlukan akses ke pengguna root.

## Prasyarat
<a name="enable-root-access-management_prerequisite"></a>

Sebelum Anda memusatkan akses root, Anda harus memiliki akun yang dikonfigurasi dengan pengaturan berikut:
+ Anda harus memiliki izin IAM berikut:
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountSummary`
  + `iam:GetLoginProfile`
  + `iam:GetUser`
  + `iam:ListAccessKeys`
  + `iam:ListMFADevices`
  + `iam:ListSigningCertificates`
  + `sts:AssumeRoot`
**catatan**  
Untuk mengaudit status kredensi pengguna root dari akun anggota, Anda dapat menggunakan kebijakan [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS terkelola untuk mengurangi izin saat Anda melakukan tugas istimewa di akun AWS Organizations anggota, atau menggunakan kebijakan apa pun yang dapat diakses. `iam:GetAccountSummary`  
Untuk menghasilkan laporan informasi kredensi pengguna root, kebijakan lain hanya memerlukan `iam:GetAccountSummary` tindakan untuk menghasilkan output yang sama. Anda juga dapat membuat daftar atau mendapatkan informasi kredensi pengguna root individual, termasuk:  
Apakah ada kata sandi pengguna root
Apakah kunci akses pengguna root hadir dan kapan terakhir digunakan
Apakah pengguna root telah mengaitkan sertifikat penandatanganan
Perangkat MFA terkait pengguna root
Daftar status kredensi pengguna root yang dikonsolidasikan
+ Anda harus mengelola Akun AWS masuk Anda [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html).
+ Anda harus memiliki izin berikut untuk mengaktifkan fitur ini di organisasi Anda:
  + `iam:EnableOrganizationsRootCredentialsManagement`
  + `iam:EnableOrganizationsRootSessions`
  + `iam:ListOrganizationsFeatures`
  + `organizations:EnableAwsServiceAccess`
  + `organizations:ListAccountsForParent`
  + `organizations:RegisterDelegatedAdministrator` 
+ Untuk memastikan fungsionalitas konsol yang optimal, sebaiknya aktifkan izin tambahan berikut:
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAWSServiceAccessForOrganization`
  + `organizations:ListDelegatedAdministrators`
  + `organizations:ListOrganizationalUnitsForParent`
  + `organizations:ListParents`
  + `organizations:ListTagsForResource`

## Mengaktifkan akses root terpusat (konsol)
<a name="enable-root-access-console"></a>

**Untuk mengaktifkan fitur ini untuk akun anggota di Konsol Manajemen AWS**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi konsol, pilih **Manajemen akses Root**, lalu pilih **Aktifkan**.
**catatan**  
Jika Anda melihat **manajemen akses Root dinonaktifkan**, aktifkan akses tepercaya untuk AWS Identity and Access Management masuk AWS Organizations. Untuk detailnya, lihat [AWS IAM dan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html) di *Panduan AWS Organizations Pengguna*.

1. Di bagian Kemampuan untuk mengaktifkan, pilih fitur mana yang akan diaktifkan.
   + Pilih **manajemen kredensi Root** untuk mengizinkan akun manajemen dan administrator yang didelegasikan untuk IAM menghapus kredensi pengguna root untuk akun anggota. Anda harus mengaktifkan tindakan root Privileged di akun anggota untuk memungkinkan akun anggota memulihkan kredensi pengguna root mereka setelah dihapus.
   + Pilih **tindakan root Privileged di akun anggota untuk memungkinkan akun** manajemen dan administrator yang didelegasikan untuk IAM untuk melakukan tugas-tugas tertentu yang memerlukan kredensi pengguna root.

1. (Opsional) Masukkan ID akun **administrator yang didelegasikan** yang berwenang untuk mengelola akses pengguna root dan mengambil tindakan istimewa pada akun anggota. Kami merekomendasikan akun yang ditujukan untuk tujuan keamanan atau manajemen.

1. Pilih **Aktifkan**.

## Mengaktifkan akses root terpusat ()AWS CLI
<a name="enable-root-access-cli"></a>

**Untuk mengaktifkan akses root terpusat dari AWS Command Line Interface ()AWS CLI**

1. Jika Anda belum mengaktifkan akses tepercaya untuk AWS Identity and Access Management in AWS Organizations, gunakan perintah berikut: [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html).

1. Gunakan perintah berikut untuk mengizinkan akun manajemen dan administrator yang didelegasikan menghapus kredensi pengguna root untuk akun anggota: [aws](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html) iam -management. enable-organizations-root-credentials

1. [Gunakan perintah berikut untuk mengizinkan akun manajemen dan administrator yang didelegasikan untuk melakukan tugas-tugas tertentu yang memerlukan kredensi pengguna root: aws iam. enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)

1. (Opsional) Gunakan perintah berikut untuk mendaftarkan administrator yang didelegasikan: [aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html).

   Contoh berikut menetapkan akun 111111111111 sebagai administrator yang didelegasikan untuk layanan IAM.

   ```
   aws organizations register-delegated-administrator 
   --service-principal iam.amazonaws.com
   --account-id 111111111111
   ```

## Mengaktifkan akses root terpusat (API)AWS
<a name="enable-root-access-api"></a>

**Untuk mengaktifkan akses root terpusat dari API AWS**

1. Jika Anda belum mengaktifkan akses tepercaya untuk AWS Identity and Access Management in AWS Organizations, gunakan perintah berikut: [Aktifkan AWSService Akses](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).

1. Gunakan perintah berikut untuk mengizinkan akun manajemen dan administrator yang didelegasikan menghapus kredensi pengguna root untuk akun anggota:. [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html)

1. Gunakan perintah berikut untuk mengizinkan akun manajemen dan administrator yang didelegasikan untuk melakukan tugas-tugas tertentu yang memerlukan kredensi pengguna root:. [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)

1. (Opsional) Gunakan perintah berikut untuk mendaftarkan administrator yang didelegasikan: [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html).

## Langkah selanjutnya
<a name="enable-root-access_next-steps"></a>

Setelah Anda mengamankan kredensi istimewa secara terpusat untuk akun anggota di organisasi Anda, lihat [Lakukan tugas istimewa](id_root-user-privileged-task.md) untuk mengambil tindakan istimewa pada akun anggota.

# Lakukan tugas istimewa di akun AWS Organizations anggota
<a name="id_root-user-privileged-task"></a>

Akun AWS Organizations manajemen atau akun administrator yang didelegasikan untuk IAM dapat melakukan beberapa tugas istimewa pada akun anggota yang jika tidak memerlukan kredensil pengguna root. Dengan akses root terpusat, tugas-tugas ini dilakukan melalui sesi istimewa jangka pendek. Sesi ini menyediakan kredensil sementara yang mencakup tindakan istimewa tertentu, tanpa memerlukan login pengguna root di akun anggota.

Setelah meluncurkan sesi istimewa, Anda dapat menghapus kebijakan bucket Amazon S3 yang salah dikonfigurasi, menghapus kebijakan antrian Amazon SQS yang salah dikonfigurasi, menghapus kredensi pengguna root untuk akun anggota, dan mengaktifkan kembali kredensi pengguna root untuk akun anggota.

**catatan**  
Untuk menggunakan akses root terpusat, Anda harus masuk melalui akun manajemen atau akun administrator yang didelegasikan sebagai pengguna IAM atau peran dengan `sts:AssumeRoot` izin yang diberikan secara eksplisit. Anda tidak dapat menggunakan kredensil pengguna root untuk menelepon. `sts:AssumeRoot`

## Prasyarat
<a name="root-user-privileged-task_prerequisite"></a>

Sebelum Anda dapat meluncurkan sesi istimewa, Anda harus memiliki pengaturan berikut:
+ Anda telah mengaktifkan akses root terpusat di organisasi Anda. Untuk langkah-langkah untuk mengaktifkan fitur ini, lihat[Memusatkan akses root untuk akun anggota](id_root-enable-root-access.md).
+ Akun manajemen atau akun administrator yang didelegasikan memiliki izin berikut: `sts:AssumeRoot`

## Mengambil tindakan istimewa pada akun anggota (konsol)
<a name="root-user-privileged-task_action-console"></a>

**Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota di Konsol Manajemen AWS**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi konsol, pilih **Manajemen akses Root**.

1. Pilih nama dari daftar akun anggota, dan pilih **Ambil tindakan istimewa**.

1. Pilih tindakan istimewa yang ingin Anda ambil di akun anggota.
   + Pilih kebijakan bucket **Delete Amazon S3 untuk menghapus kebijakan bucket** yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.

     1. **Pilih **Browse S3** untuk memilih nama dari bucket yang dimiliki oleh akun anggota, dan pilih Pilih.**

     1. Pilih **kebijakan Hapus bucket**.

     1. Gunakan konsol Amazon S3 untuk memperbaiki kebijakan bucket setelah menghapus kebijakan yang salah konfigurasi. Untuk informasi selengkapnya, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Pengguna *Amazon S3*.
   + Pilih kebijakan **Hapus Amazon SQS untuk menghapus kebijakan** berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.

     1. Masukkan nama antrian dalam nama antrian **SQS**, dan pilih **Hapus** kebijakan SQS.

     1. Gunakan konsol Amazon SQS untuk memperbaiki kebijakan antrian setelah menghapus kebijakan yang salah konfigurasi. Untuk informasi selengkapnya, lihat [Mengonfigurasi kebijakan akses di Amazon](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html) SQS di Panduan Pengembang *Amazon SQS*.
   + Pilih **Hapus kredenal root** untuk menghapus akses root dari akun anggota. Menghapus kredensi pengguna root menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA) untuk akun anggota.

     1. Pilih **Hapus kredenal root**.
   + Pilih **Izinkan pemulihan kata sandi** untuk memulihkan kredensi pengguna root untuk akun anggota.

     Opsi ini hanya tersedia ketika akun anggota tidak memiliki kredensi pengguna root.

     1. Pilih **Izinkan pemulihan kata sandi**.

     1. Setelah mengambil tindakan istimewa ini, orang yang memiliki akses ke kotak masuk email pengguna root untuk akun anggota dapat [mengatur ulang kata sandi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) dan masuk ke pengguna root akun anggota.

## Mengambil tindakan istimewa pada akun anggota ()AWS CLI
<a name="root-user-privileged-task_action-cli"></a>

**Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota dari AWS Command Line Interface**

1. Gunakan perintah berikut untuk mengasumsikan sesi pengguna root: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html).
**catatan**  
Titik akhir global tidak didukung untuk`sts:AssumeRoot`. Anda harus mengirim permintaan ini ke AWS STS titik akhir Regional. Untuk informasi selengkapnya, lihat [Kelola AWS STS dalam sebuah Wilayah AWS](id_credentials_temp_enable-regions.md).

   Saat Anda meluncurkan sesi pengguna root istimewa untuk akun anggota, Anda harus menentukan `task-policy-arn` cakupan sesi ke tindakan istimewa yang akan dilakukan selama sesi. Anda dapat menggunakan salah satu kebijakan AWS terkelola berikut untuk mencakup tindakan sesi istimewa.
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   Untuk membatasi tindakan yang dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan selama sesi pengguna root istimewa, Anda dapat menggunakan kunci AWS STS kondisi [sts](reference_policies_iam-condition-keys.md#ck_taskpolicyarn):. TaskPolicyArn

    Dalam contoh berikut, administrator yang didelegasikan mengasumsikan root untuk menghapus kredensi pengguna root untuk ID akun anggota. *111122223333* 

   ```
   aws sts assume-root \
     --target-principal 111122223333 \
     --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
     --duration-seconds 900
   ```

1. Gunakan`SessionToken`,`AccessKeyId`, dan `SecretAccessKey` dari respons untuk melakukan tindakan istimewa di akun anggota. Anda dapat menghilangkan nama pengguna dan kata sandi dalam permintaan untuk default ke akun anggota.
   + **Periksa status kredenal pengguna root**. Gunakan perintah berikut untuk memeriksa status kredensi pengguna root untuk akun anggota.
     + [dapatkan-pengguna](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
     + [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
     + [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
     + [get-access-key-last-digunakan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
   + **Hapus kredensial pengguna root**. Gunakan perintah berikut untuk menghapus akses root. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA) untuk menghapus semua akses ke dan pemulihan pengguna root.
     + [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
     + [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
     + [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
     + [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
   + **Hapus kebijakan bucket Amazon S3**. Gunakan perintah berikut untuk membaca, mengedit, dan menghapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
     + [daftar-ember](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
     + [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
     + [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
     + [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
   + **Hapus kebijakan Amazon SQS.** Gunakan perintah berikut untuk melihat dan menghapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.
     + [daftar-antrian](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
     + [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
     + [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
     + [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
   + **Izinkan pemulihan kata sandi**. Gunakan perintah berikut untuk melihat nama pengguna dan memulihkan kredensi pengguna root untuk akun anggota.
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)

## Mengambil tindakan istimewa pada akun anggota (AWS API)
<a name="root-user-privileged-task_action-api"></a>

**Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota dari API AWS**

1. Gunakan perintah berikut untuk mengasumsikan sesi pengguna root: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html).
**catatan**  
Titik akhir global tidak didukung untuk AssumeRoot. Anda harus mengirim permintaan ini ke AWS STS titik akhir Regional. Untuk informasi selengkapnya, lihat [Kelola AWS STS dalam sebuah Wilayah AWS](id_credentials_temp_enable-regions.md).

   Saat Anda meluncurkan sesi pengguna root istimewa untuk akun anggota, Anda harus menentukan `TaskPolicyArn` cakupan sesi ke tindakan istimewa yang akan dilakukan selama sesi. Anda dapat menggunakan salah satu kebijakan AWS terkelola berikut untuk mencakup tindakan sesi istimewa.
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   Untuk membatasi tindakan yang dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan selama sesi pengguna root istimewa, Anda dapat menggunakan kunci AWS STS kondisi [sts](reference_policies_iam-condition-keys.md#ck_taskpolicyarn):. TaskPolicyArn

   Dalam contoh berikut, administrator yang didelegasikan mengasumsikan root untuk membaca, mengedit, dan menghapus kebijakan berbasis sumber daya yang salah konfigurasi untuk bucket Amazon S3 untuk ID akun anggota. *111122223333*

   ```
   https://sts.us-east-2.amazonaws.com/
     ?Version=2011-06-15
     &Action=AssumeRoot
     &TargetPrincipal=111122223333
     &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
     &DurationSeconds 900
   ```

1. Gunakan`SessionToken`,`AccessKeyId`, dan `SecretAccessKey` dari respons untuk melakukan tindakan istimewa di akun anggota. Anda dapat menghilangkan nama pengguna dan kata sandi dalam permintaan untuk default ke akun anggota.
   + **Periksa status kredenal pengguna root**. Gunakan perintah berikut untuk memeriksa status kredensi pengguna root untuk akun anggota.
     + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
     + [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
     + [Daftar MFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
     + [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
   + **Hapus kredensial pengguna root**. Gunakan perintah berikut untuk menghapus akses root. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA) untuk menghapus semua akses ke dan pemulihan pengguna root.
     + [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
     + [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
     + [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
     + [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
   + **Hapus kebijakan bucket Amazon S3**. Gunakan perintah berikut untuk membaca, mengedit, dan menghapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
     + [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
     + [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
     + [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
     + [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
   + **Hapus kebijakan Amazon SQS.** Gunakan perintah berikut untuk melihat dan menghapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.
     + [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
     + [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
     + [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
     + [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
   + **Izinkan pemulihan kata sandi**. Gunakan perintah berikut untuk melihat nama pengguna dan memulihkan kredensi pengguna root untuk akun anggota.
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

# Otentikasi multi-faktor untuk Pengguna root akun AWS
<a name="enable-mfa-for-root"></a>

**penting**  
AWS merekomendasikan agar Anda menggunakan kunci sandi atau kunci keamanan untuk MFA, AWS sedapat mungkin karena mereka lebih tahan terhadap serangan seperti phishing. Untuk informasi selengkapnya, lihat [Kunci sandi dan kunci keamanan](#passkeys-security-keys-for-root).

Otentikasi multi-faktor (MFA) adalah mekanisme sederhana dan efektif untuk meningkatkan keamanan Anda. Faktor pertama — kata sandi Anda — adalah rahasia yang Anda hafal, juga dikenal sebagai faktor pengetahuan. Faktor lain dapat berupa faktor kepemilikan (sesuatu yang Anda miliki, seperti kunci keamanan) atau faktor warisan (sesuatu yang Anda miliki, seperti pemindaian biometrik). Untuk meningkatkan keamanan, kami sangat menyarankan Anda mengonfigurasi otentikasi multi-faktor (MFA) untuk membantu melindungi sumber daya Anda. AWS 

**catatan**  
Semua Akun AWS jenis (akun mandiri, manajemen, dan anggota) memerlukan MFA untuk dikonfigurasi untuk pengguna root mereka. Pengguna harus mendaftarkan MFA dalam waktu 35 hari sejak upaya masuk pertama mereka untuk mengakses jika Konsol Manajemen AWS MFA belum diaktifkan.

Anda dapat mengaktifkan MFA untuk pengguna Pengguna root akun AWS dan IAM. Saat Anda mengaktifkan MFA untuk pengguna root, itu hanya memengaruhi kredensi pengguna root. Untuk informasi selengkapnya tentang cara mengaktifkan MFA untuk pengguna IAM Anda, lihat. [AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md)

**catatan**  
Akun AWS managed using AWS Organizations mungkin memiliki opsi untuk [mengelola akses root secara terpusat](id_root-user.md#id_root-user-access-management) untuk akun anggota untuk mencegah pemulihan kredensi dan akses dalam skala besar. Jika opsi ini diaktifkan, Anda dapat menghapus kredensi pengguna root dari akun anggota, termasuk kata sandi dan MFA, yang secara efektif mencegah masuk sebagai pengguna root, pemulihan kata sandi, atau pengaturan MFA. Atau, jika Anda lebih suka mempertahankan metode masuk berbasis kata sandi, amankan akun Anda dengan mendaftarkan MFA untuk meningkatkan perlindungan akun.

Sebelum Anda mengaktifkan MFA untuk pengguna root Anda, tinjau dan [perbarui pengaturan akun dan informasi kontak](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) Anda untuk memastikan bahwa Anda memiliki akses ke email dan nomor telepon. Jika perangkat MFA Anda hilang, dicuri, atau tidak berfungsi, Anda masih dapat masuk sebagai pengguna akar dengan memverifikasi identitas menggunakan email dan nomor telepon tersebut. Untuk mempelajari tentang proses masuk menggunakan faktor autentikasi alternatif, lihat [Pulihkan identitas yang dilindungi MFA di IAM](id_credentials_mfa_lost-or-broken.md). Untuk menonaktifkan fitur ini, hubungi [AWS Dukungan](https://console.aws.amazon.com/support/home#/). 

AWS mendukung jenis MFA berikut untuk pengguna root Anda:
+ [Kunci sandi dan kunci keamanan](#passkeys-security-keys-for-root)
+ [Aplikasi otentikator virtual](#virtual-auth-apps-for-root)
+ [Token TOTP perangkat keras](#hardware-totp-token-for-root)

## Kunci sandi dan kunci keamanan
<a name="passkeys-security-keys-for-root"></a>

AWS Identity and Access Management mendukung kunci sandi dan kunci keamanan untuk MFA. Berdasarkan standar FIDO, kunci sandi menggunakan kriptografi kunci publik untuk memberikan otentikasi yang kuat dan tahan phishing yang lebih aman daripada kata sandi. AWS mendukung dua jenis kunci sandi: kunci sandi terikat perangkat (kunci keamanan) dan kunci sandi yang disinkronkan.
+ **Kunci keamanan**: Ini adalah perangkat fisik, seperti YubiKey, digunakan sebagai faktor kedua untuk otentikasi. Satu kunci keamanan dapat mendukung beberapa akun pengguna root dan pengguna IAM. 
+ **Kunci sandi yang disinkronkan**: Ini menggunakan pengelola kredensi dari penyedia seperti Google, Apple, akun Microsoft, dan layanan pihak ketiga seperti 1Password, Dashlane, dan Bitwarden sebagai faktor kedua.

Anda dapat menggunakan autentikator biometrik bawaan, seperti Touch ID di Apple MacBooks, untuk membuka kunci pengelola kredensi dan masuk. AWS Kunci sandi dibuat dengan penyedia pilihan Anda menggunakan sidik jari, wajah, atau PIN perangkat Anda. Anda juga dapat menggunakan kunci sandi otentikasi lintas perangkat (CDA) dari satu perangkat, seperti perangkat seluler atau kunci keamanan perangkat keras, untuk masuk di perangkat lain seperti laptop. Untuk informasi selengkapnya, lihat [otentikasi lintas perangkat](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).

Anda dapat menyinkronkan kunci sandi di seluruh perangkat Anda untuk memfasilitasi masuk dengan AWS, meningkatkan kegunaan dan pemulihan. Untuk informasi selengkapnya tentang mengaktifkan kunci sandi dan kunci keamanan, lihat. [Aktifkan kunci sandi atau kunci keamanan untuk pengguna root (konsol)](enable-fido-mfa-for-root.md)

Aliansi FIDO menyimpan daftar semua [produk Bersertifikat FIDO](https://fidoalliance.org/certification/fido-certified-products/) yang kompatibel dengan spesifikasi FIDO.

## Aplikasi otentikator virtual
<a name="virtual-auth-apps-for-root"></a>

Aplikasi otentikator virtual berjalan di telepon atau perangkat lain dan mengemulasi perangkat fisik. Aplikasi otentikator virtual menerapkan [algoritma kata sandi satu kali berbasis waktu (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238) dan mendukung beberapa token pada satu perangkat. Pengguna harus mengetikkan kode yang valid dari perangkat saat diminta saat masuk. Setiap token yang ditetapkan untuk pengguna harus unik. Pengguna tidak dapat mengetik kode dari token pengguna lain untuk mengautentikasi.

Kami menyarankan agar Anda menggunakan perangkat MFA virtual saat menunggu untuk mendapatkan persetujuan pembelian perangkat keras atau saat menunggu kedatangan perangkat keras Anda. Untuk daftar beberapa aplikasi yang didukung yang dapat Anda gunakan sebagai perangkat MFA virtual, lihat [Multi-Factor Authentication (MFA](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)). Untuk petunjuk tentang pengaturan perangkat MFA virtual dengan AWS, lihat. [Aktifkan perangkat MFA virtual untuk pengguna root (konsol)](enable-virt-mfa-for-root.md)

## Token TOTP perangkat keras
<a name="hardware-totp-token-for-root"></a>

Perangkat keras menghasilkan kode numerik enam digit berdasarkan algoritma [kata sandi satu kali berbasis waktu](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP). Pengguna harus mengetik kode yang valid dari perangkat di halaman web kedua saat masuk. Setiap perangkat MFA yang ditetapkan ke pengguna harus unik. Pengguna tidak dapat mengetik kode dari perangkat pengguna lain untuk diautentikasi. Untuk informasi tentang perangkat MFA perangkat keras yang didukung, lihat [Multi-Factor Authentication (MFA](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)). Untuk petunjuk tentang menyiapkan token TOTP perangkat keras dengan AWS, lihat. [Aktifkan token TOTP perangkat keras untuk pengguna root (konsol)](enable-hw-mfa-for-root.md)

Jika Anda ingin menggunakan perangkat MFA fisik, kami sarankan Anda menggunakan kunci keamanan FIDO sebagai alternatif perangkat TOTP perangkat keras. Kunci keamanan FIDO menawarkan manfaat tanpa persyaratan baterai, ketahanan phishing, dan mereka mendukung beberapa pengguna root dan IAM pada satu perangkat untuk meningkatkan keamanan.

**Topics**
+ [

## Kunci sandi dan kunci keamanan
](#passkeys-security-keys-for-root)
+ [

## Aplikasi otentikator virtual
](#virtual-auth-apps-for-root)
+ [

## Token TOTP perangkat keras
](#hardware-totp-token-for-root)
+ [

# Aktifkan kunci sandi atau kunci keamanan untuk pengguna root (konsol)
](enable-fido-mfa-for-root.md)
+ [

# Aktifkan perangkat MFA virtual untuk pengguna root (konsol)
](enable-virt-mfa-for-root.md)
+ [

# Aktifkan token TOTP perangkat keras untuk pengguna root (konsol)
](enable-hw-mfa-for-root.md)

# Aktifkan kunci sandi atau kunci keamanan untuk pengguna root (konsol)
<a name="enable-fido-mfa-for-root"></a>

Anda dapat mengonfigurasi dan mengaktifkan kunci sandi untuk pengguna root Anda dari Konsol Manajemen AWS satu-satunya, bukan dari AWS CLI atau AWS API. <a name="enable_fido_root"></a>

**Untuk mengaktifkan kunci sandi atau kunci keamanan untuk pengguna root Anda (konsol)**

1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.

   Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.

1. Di sisi kanan bilah navigasi, pilih nama akun Anda, lalu pilih **Kredensi keamanan**.  
![\[Kredensi keamanan di menu navigasi\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. **Pada pengguna root Anda Halaman **kredensial keamanan saya**, di bawah **Autentikasi multi-faktor (MFA), pilih Tetapkan perangkat MFA**.**

1. **Pada halaman **nama perangkat MFA, masukkan nama** **Perangkat**, pilih **Kunci Sandi atau Kunci Keamanan**, lalu pilih Berikutnya.**

1. Pada **Siapkan perangkat**, atur kunci sandi Anda. Buat passkey dengan data biometrik seperti wajah atau sidik jari Anda, dengan pin perangkat, atau dengan memasukkan kunci keamanan FIDO ke port USB komputer Anda dan mengetuknya.

1. Ikuti petunjuk di browser Anda untuk memilih penyedia kunci sandi atau tempat Anda ingin menyimpan kunci sandi untuk digunakan di seluruh perangkat Anda. 

1. Pilih **Lanjutkan**.

Anda sekarang telah mendaftarkan passkey Anda untuk digunakan dengan AWS. Lain kali Anda menggunakan kredensi pengguna root Anda untuk masuk, Anda harus mengautentikasi dengan kunci sandi Anda untuk menyelesaikan proses masuk.

Untuk membantu memecahkan masalah dengan kunci keamanan FIDO Anda, lihat. [Memecahkan Masalah Kunci Sandi dan Kunci Keamanan FIDO](troubleshoot_mfa-fido.md)

# Aktifkan perangkat MFA virtual untuk pengguna root (konsol)
<a name="enable-virt-mfa-for-root"></a>

Anda dapat menggunakan Konsol Manajemen AWS untuk mengkonfigurasi dan mengaktifkan perangkat MFA virtual untuk pengguna root Anda. Untuk mengaktifkan perangkat MFA Akun AWS, Anda harus masuk AWS menggunakan kredenal pengguna root Anda. 

**Untuk mengonfigurasi dan mengaktifkan perangkat MFA virtual untuk digunakan dengan pengguna akar Anda (konsol)**

1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.

   Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.

1. Di sisi kanan bilah navigasi, pilih nama akun Anda, dan pilih **Kredensi keamanan**.  
![\[Kredensi keamanan di menu navigasi\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. **Di bagian **Multi-Factor Authentication (MFA), pilih Tetapkan** perangkat MFA.**

1. Di wizard, ketikkan **nama Perangkat**, pilih **Aplikasi Authenticator**, lalu pilih **Berikutnya**.

   IAM menghasilkan dan menampilkan informasi konfigurasi untuk perangkat MFA virtual, termasuk grafik kode QR. Grafik adalah representasi kunci konfigurasi rahasia yang tersedia untuk entri manual pada perangkat yang tidak mendukung kode QR.

1. Buka aplikasi MFA virtual di perangkat. 

   Jika aplikasi MFA virtual mendukung beberapa perangkat atau akun MFA virtual, pilih opsi untuk membuat perangkat atau akun MFA virtual baru.

1. Cara termudah untuk mengonfigurasi aplikasi adalah menggunakan aplikasi untuk memindai kode QR. Jika Anda tidak dapat memindai kode, Anda dapat mengetik informasi konfigurasi secara manual. Kode QR dan kunci konfigurasi rahasia yang dihasilkan oleh IAM terikat dengan Anda Akun AWS dan tidak dapat digunakan dengan akun yang berbeda. Namun, mereka dapat digunakan kembali untuk mengonfigurasi perangkat MFA baru untuk akun Anda jika Anda kehilangan akses ke perangkat MFA asli.
   + Untuk menggunakan kode QR untuk mengonfigurasi perangkat MFA virtual, dari wizard, pilih **Tampilkan kode QR**. Lalu, ikuti petunjuk aplikasi untuk memindai kode. Misalnya, Anda mungkin perlu memilih ikon kamera atau memilih perintah seperti **Kode batang akun pemindaian**, lalu gunakan kamera perangkat untuk memindai kode QR.
   + Di wizard **Siapkan perangkat**, pilih **Tampilkan kunci rahasia**, lalu ketik kunci rahasia ke dalam aplikasi MFA Anda.
**penting**  
Buat cadangan kode QR atau kunci konfigurasi rahasia yang aman, atau pastikan Anda mengaktifkan beberapa perangkat MFA untuk akun Anda. Anda dapat mendaftarkan hingga **delapan** perangkat MFA dari kombinasi [jenis MFA yang saat ini didukung dengan pengguna Anda Pengguna root akun AWS dan IAM](https://aws.amazon.com/iam/features/mfa/). Perangkat MFA virtual mungkin menjadi tidak tersedia, misalnya, jika Anda kehilangan ponsel cerdas tempat perangkat MFA virtual di-host. Jika itu terjadi dan Anda tidak dapat masuk ke akun Anda tanpa perangkat MFA tambahan yang terpasang pada pengguna atau bahkan oleh[Pemulihan perangkat MFA pengguna akar](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken), Anda tidak akan dapat masuk ke akun Anda dan Anda harus [menghubungi layanan pelanggan untuk menghapus](https://support.aws.amazon.com/#/contacts/aws-mfa-support) perlindungan MFA untuk akun tersebut. 

   Alat mulai menghasilkan angka enam-digit.

1. Di wizard, di kotak **kode MFA 1**, ketik kata sandi satu kali yang saat ini muncul di perangkat MFA virtual. Tunggu hingga 30 detik untuk membuat kata sandi sekali pakai yang baru. Lalu ketikkan kata sandi satu kali kedua ke kotak **Kode MFA 2**. Pilih **Tambahkan MFA**. 
**penting**  
Kirim permintaan Anda segera setelah membuat kode. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirim permintaan, perangkat MFA berhasil menghubungkan pengguna namun perangkat MFA tidak sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu. Jika ini terjadi, Anda dapat [menyinkronisasi ulang perangkat](id_credentials_mfa_sync.md).

Perangkat siap digunakan dengan AWS. Untuk informasi lebih lanjut tentang penggunaan MFA dengan Konsol Manajemen AWS, lihat [MFA mengaktifkan login](console_sign-in-mfa.md).

# Aktifkan token TOTP perangkat keras untuk pengguna root (konsol)
<a name="enable-hw-mfa-for-root"></a>

Anda dapat mengonfigurasi dan mengaktifkan perangkat MFA fisik untuk pengguna root Anda dari Konsol Manajemen AWS satu-satunya, bukan dari AWS CLI atau AWS API.

**catatan**  
Anda mungkin melihat teks yang berbeda, seperti **Masuk menggunakan MFA** dan **Atasi masalah perangkat autentikasi Anda**. Namun, fitur yang sama disediakan. Dalam kedua kasus tersebut, jika Anda tidak dapat memverifikasi alamat email akun dan nomor telepon Anda menggunakan faktor otentikasi alternatif, hubungi [AWS Dukungan](https://aws.amazon.com/forms/aws-mfa-support)untuk menghapus pengaturan MFA Anda.<a name="enable_physical_root"></a>

**Untuk mengaktifkan token TOTP perangkat keras untuk pengguna root Anda (konsol)**

1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.

   Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.

1. Di sisi kanan bilah navigasi, pilih nama akun Anda, lalu pilih **Kredensi keamanan**.  
![\[Kredensi keamanan di menu navigasi\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Perluas bagian **Multi-Factor Authentication (MFA)**.

1. Pilih **Tetapkan perangkat MFA**.

1. **Di wizard, ketik **nama Perangkat**, pilih **token TOTP Perangkat Keras**, lalu pilih Berikutnya.**

1. Di kotak **Nomor seri**, ketik nomor seri yang ditemukan di bagian belakang perangkat MFA.

1. Di kotak **Kode MFA 1**, ketik angka enam-digit yang ditampilkan oleh perangkat MFA. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor.  
![\[Dasbor IAM, Perangkat MFA\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/MFADevice.png)

1. Tunggu 30 detik saat perangkat menyegarkan kode, lalu ketik angka enam digit berikutnya ke kotak **Kode MFA 2**. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor kedua.

1. Pilih **Tambahkan MFA**. Perangkat MFA sekarang dikaitkan dengan. Akun AWS
**penting**  
Segera kirim permintaan Anda setelah membuat kode autentikasi. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirim permintaan, perangkat MFA berhasil menghubungkan pengguna namun perangkat MFA tidak akan sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu. Jika ini terjadi, Anda dapat [mensinkronisasi ulang perangkat](id_credentials_mfa_sync.md).

   Saat berikutnya Anda menggunakan kredensial pengguna akar Anda untuk masuk, Anda harus mengetik kode dari perangkat MFA.

# Ubah kata sandi untuk Pengguna root akun AWS
<a name="root-user-password"></a>

Anda dapat mengubah alamat email dan kata sandi dari [Kredensial Keamanan](https://console.aws.amazon.com/iam/home?#security_credential) atau halaman **Akun**. Anda juga dapat memilih **Lupa kata sandi?** pada halaman AWS login untuk mengatur ulang kata sandi Anda.

Untuk mengubah kata sandi pengguna root, Anda harus masuk sebagai Pengguna root akun AWS dan bukan sebagai pengguna IAM. Untuk mempelajari cara mengatur ulang kata sandi pengguna akar yang *lupa*, lihat [Setel ulang kata sandi pengguna root yang hilang atau terlupakan](reset-root-password.md). 

Untuk melindungi kata sandi Anda, penting untuk mengikuti praktik terbaik ini:
+ Ubah kata sandi Anda secara berkala. 
+ Jaga kerahasiaan kata sandi Anda karena siapa pun yang mengetahui kata sandi Anda dapat mengakses akun Anda.
+ Gunakan kata sandi yang berbeda AWS dari yang Anda gunakan di situs lain. 
+ Hindari kata sandi yang mudah ditebak. Ini termasuk kata sandi seperti `secret`, `password`, `amazon`, atau `123456`. Hindari juga hal-hal seperti kata-kata kamus, nama Anda, alamat email, atau informasi pribadi lainnya yang dapat diperoleh seseorang dengan mudah.

**penting**  
Akun AWS dikelola menggunakan AWS Organizations mungkin memiliki [akses root terpusat](id_root-user.md#id_root-user-access-management) yang diaktifkan untuk akun anggota. Akun anggota ini tidak memiliki kredensi pengguna root, tidak dapat masuk sebagai pengguna root, dan dicegah memulihkan kata sandi pengguna root. Hubungi administrator Anda jika Anda perlu melakukan tugas yang memerlukan kredensi pengguna root.

------
#### [ Konsol Manajemen AWS ]

**Untuk mengubah kata sandi bagi pengguna akar**
**Izin minimum**  
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:  
Anda harus masuk sebagai pengguna Akun AWS root, yang tidak memerlukan izin tambahan AWS Identity and Access Management (IAM). Anda tidak dapat melakukan langkah-langkah ini sebagai pengguna atau peran IAM.

1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.

   Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.

1. Di sudut kanan atas konsol, pilih nama atau nomor akun Anda, lalu pilih **Kredensial Keamanan**.

1. Pada halaman **Akun**, di samping **Pengaturan akun**, pilih **Edit**. Anda diminta untuk mengautentikasi ulang untuk tujuan keamanan.
**catatan**  
Jika Anda tidak melihat opsi **Edit**, kemungkinan Anda tidak masuk sebagai pengguna root untuk akun Anda. Anda tidak dapat mengubah setelan akun saat masuk sebagai pengguna atau peran IAM.

1. Pada halaman **Perbarui pengaturan akun**, di bawah **Kata Sandi**, pilih **Edit**.

1. Pada halaman **Perbarui kata sandi Anda**, isi kolom untuk **Kata sandi saat ini, Kata sandi** **baru**, dan **Konfirmasi kata sandi baru**.
**penting**  
Pastikan untuk memilih kata sandi yang kuat. Meskipun Anda dapat menetapkan kebijakan kata sandi akun untuk pengguna IAM, kebijakan tersebut tidak berlaku untuk pengguna root.

   AWS mengharuskan kata sandi Anda memenuhi ketentuan berikut:
   + Itu harus memiliki minimal 8 karakter dan maksimal 128 karakter.
   + Ini harus mencakup minimal tiga dari campuran tipe karakter berikut: huruf besar, huruf kecil, angka, dan\$1 @ \$1 \$1% ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-= simbol.
   + Itu tidak boleh identik dengan Akun AWS nama atau alamat email Anda.

1. Pilih **Simpan perubahan**.

------
#### [ AWS CLI or AWS SDK ]

Tugas ini tidak didukung di AWS CLI atau oleh operasi API dari salah satu AWS SDKs. Anda dapat melakukan tugas ini hanya dengan menggunakan Konsol Manajemen AWS.

------

# Setel ulang kata sandi pengguna root yang hilang atau terlupakan
<a name="reset-root-password"></a>

Saat pertama kali membuat Akun AWS, Anda memberikan alamat email dan kata sandi. Ini adalah Pengguna root akun AWS kredensialmu. Jika Anda lupa kata sandi pengguna root Anda, Anda dapat mengatur ulang kata sandi dari file Konsol Manajemen AWS.

Akun AWS dikelola menggunakan AWS Organizations mungkin memiliki [akses root terpusat](id_root-user.md#id_root-user-access-management) yang diaktifkan untuk akun anggota. Akun anggota ini tidak memiliki kredensi pengguna root, tidak dapat masuk sebagai pengguna root, dan dicegah memulihkan kata sandi pengguna root. Hubungi administrator Anda jika Anda perlu melakukan tugas yang memerlukan kredensi pengguna root.

**penting**  
**Mengalami masalah saat masuk AWS?** Pastikan Anda berada di [halaman masuk AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) yang benar untuk jenis pengguna Anda. Jika Anda adalah Pengguna root akun AWS (pemilik akun), Anda dapat masuk AWS menggunakan kredenal yang Anda atur saat membuat. Akun AWS Jika Anda adalah pengguna IAM, administrator akun Anda dapat memberi Anda kredensi yang dapat Anda gunakan untuk masuk. AWS Jika Anda perlu meminta dukungan, jangan gunakan tautan umpan balik di halaman ini, karena formulir diterima oleh tim AWS Dokumentasi, bukan Dukungan. Sebagai gantinya, pada halaman [Hubungi Kami](https://aws.amazon.com/contact-us/) pilih **Masih tidak dapat masuk ke AWS akun Anda** dan kemudian pilih salah satu opsi dukungan yang tersedia.

**Untuk mengatur ulang kata sandi pengguna root Anda**

1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.

   Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
**catatan**  
 Jika Anda masuk ke kredensi *pengguna [Konsol Manajemen AWS](https://console.aws.amazon.com/)dengan IAM*, maka Anda harus keluar sebelum Anda dapat mengatur ulang kata sandi pengguna root. Jika Anda melihat halaman masuk pengguna IAM khusus akun, pilih **Masuk menggunakan kredensial akun akar** di dekat bagian bawah halaman. Jika perlu, berikan alamat email akun Anda dan pilih **Selanjutnya** untuk mengakses halaman **Masuk ke pengguna akar**.

1. Pilih **Lupa kata sandi Anda?**.
**catatan**  
Jika Anda adalah pengguna IAM, opsi ini tidak tersedia. **Lupa kata sandi Anda?** opsi hanya tersedia untuk akun pengguna root. Pengguna IAM harus meminta administrator mereka untuk mengatur ulang kata sandi yang terlupakan. Untuk informasi selengkapnya, lihat [Saya lupa kata sandi pengguna IAM untuk akun saya AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password). Jika Anda masuk melalui portal AWS akses, lihat [Menyetel ulang kata sandi pengguna Pusat Identitas IAM Anda](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html).

1. Masukkan alamat email yang terkait dengan akun tersebut. Kemudian berikan teks CAPTCHA dan pilih **Lanjutkan**.

1. Periksa email yang terkait dengan Anda Akun AWS untuk pesan dari Amazon Web Services. Email akan datang dari alamat yang berakhiran`@verify.signin.aws`. Ikuti petunjuk di dalam email. Jika Anda tidak melihat email di akun Anda, periksa folder spam Anda. Jika Anda tidak lagi memiliki akses ke email, lihat [Saya tidak memiliki akses ke email untuk AWS akun saya](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console) di *Panduan AWS Sign-In Pengguna*.

# Buat kunci akses untuk pengguna root
<a name="id_root-user_manage_add-key"></a>

**Awas**  
Kami sangat menyarankan agar Anda **tidak** membuat pasangan kunci akses untuk pengguna root Anda. Karena [hanya beberapa tugas yang memerlukan pengguna root](id_root-user.md#root-user-tasks) dan Anda biasanya jarang melakukan tugas-tugas tersebut, kami sarankan masuk ke Konsol Manajemen AWS untuk melakukan tugas pengguna root. Sebelum membuat kunci akses, tinjau [alternatif untuk kunci akses jangka panjang](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

Meskipun kami tidak merekomendasikannya, Anda dapat membuat kunci akses untuk pengguna root Anda sehingga Anda dapat menjalankan perintah di AWS Command Line Interface (AWS CLI) atau menggunakan operasi API dari salah satu kredensi pengguna root yang AWS SDKs menggunakan. Saat Anda membuat access key, Anda membuat access key ID dan secret access key sebagai satu set. Selama pembuatan kunci akses, AWS memberi Anda satu kesempatan untuk melihat dan mengunduh bagian kunci akses rahasia dari kunci akses. Jika Anda tidak mengunduhnya atau Anda kehilangannya, Anda dapat menghapus access key itu lalu membuat yang baru. Anda dapat membuat kunci akses pengguna root dengan konsol, AWS CLI, atau AWS API.

Access key yang baru dibuat memiliki status *aktif*, yang berarti bahwa Anda dapat menggunakan access key itu untuk panggilan CLI dan API. Anda dapat menetapkan hingga dua kunci akses ke pengguna root.

Kunci akses yang tidak digunakan harus dinonaktifkan. Setelah kunci akses tidak aktif, Anda tidak dapat menggunakannya untuk panggilan API. Kunci tidak aktif masih dihitung terhadap batas Anda. Anda dapat membuat atau menghapus access key kapan saja. Namun, ketika Anda menghapus access key, kunci tersebut hilang selamanya dan tidak dapat diambil kembali.

------
#### [ Konsol Manajemen AWS ]

**Untuk membuat kunci akses untuk Pengguna root akun AWS**
**Izin minimum**  
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:  
Anda harus masuk sebagai pengguna Akun AWS root, yang tidak memerlukan izin tambahan AWS Identity and Access Management (IAM). Anda tidak dapat melakukan langkah-langkah ini sebagai pengguna atau peran IAM.

1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.

   Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.

1. Di sudut kanan atas konsol, pilih nama atau nomor akun Anda, lalu pilih **Kredensial Keamanan**. 

1. Pada bagian **Access key**, pilih **Buat access key**. Jika opsi ini tidak tersedia, maka Anda sudah memiliki jumlah maksimum kunci akses. Anda harus menghapus salah satu kunci akses yang ada sebelum Anda dapat membuat kunci baru. Untuk informasi selengkapnya, lihat [Kuota Objek IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities). 

1. Pada halaman **Alternatives to root user access keys**, tinjau rekomendasi keamanan. Untuk melanjutkan, pilih kotak centang, lalu pilih **Buat kunci akses**. 

1. Pada halaman **Retrieve access key**, ID **kunci Access** Anda akan ditampilkan. 

1. Di bawah **Kunci akses rahasia**, pilih **Tampilkan** dan kemudian salin ID kunci akses dan kunci rahasia dari jendela browser Anda dan tempelkan di tempat yang aman. Atau, Anda dapat memilih **Unduh file.csv** yang akan mengunduh file bernama `rootkey.csv` yang berisi ID kunci akses dan kunci rahasia. Simpan file di tempat yang aman.

1. Pilih **Selesai**. Ketika Anda tidak lagi memerlukan kunci akses, [kami sarankan Anda menghapusnya](id_root-user_manage_delete-key.md), atau setidaknya pertimbangkan untuk menonaktifkannya sehingga tidak ada yang bisa menyalahgunakannya.

------
#### [ AWS CLI & SDKs ]

**Untuk membuat kunci akses untuk pengguna root**
**catatan**  
Untuk menjalankan perintah berikut atau operasi API sebagai pengguna root, Anda harus sudah memiliki satu active access key pair. Jika Anda tidak memiliki kunci akses, buat kunci akses pertama menggunakan tombol Konsol Manajemen AWS. Kemudian, Anda dapat menggunakan kredensil dari kunci akses pertama dengan AWS CLI untuk membuat kunci akses kedua, atau untuk menghapus kunci akses.
+ AWS CLI: [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)  
**Example**  

  ```
  $ aws iam create-access-key
  {
      "AccessKey": {
          "UserName": "MyUserName",
          "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
          "Status": "Active",
          "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
          "CreateDate": "2021-04-08T19:30:16+00:00"
      }
  }
  ```
+ AWS API: [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)dalam *Referensi API IAM*. 

------

# Hapus kunci akses untuk pengguna root
<a name="id_root-user_manage_delete-key"></a>

Anda dapat menggunakan Konsol Manajemen AWS, AWS CLI atau AWS API untuk menghapus kunci akses pengguna root.

------
#### [ Konsol Manajemen AWS ]

**Untuk menghapus kunci akses untuk pengguna root**
**Izin minimum**  
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:  
Anda harus masuk sebagai pengguna Akun AWS root, yang tidak memerlukan izin tambahan AWS Identity and Access Management (IAM). Anda tidak dapat melakukan langkah-langkah ini sebagai pengguna atau peran IAM.

1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.

   Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.

1. Di sudut kanan atas konsol, pilih nama atau nomor akun Anda, lalu pilih **Kredensial Keamanan**. 

1. Di bagian **Kunci akses**, pilih tombol akses yang ingin Anda hapus, lalu, di bawah **Tindakan**, pilih **Hapus**.
**catatan**  
Atau, Anda dapat **Menonaktifkan** kunci akses, alih-alih menghapusnya secara permanen. Dengan cara ini Anda dapat melanjutkan menggunakannya di masa depan tanpa harus mengubah ID kunci atau kunci rahasia. Meskipun kuncinya tidak aktif, setiap upaya untuk menggunakannya dalam permintaan ke AWS API gagal dengan akses kesalahan ditolak.

1. Pada <access key ID>kotak dialog **Hapus**, pilih **Nonaktifkan**, masukkan ID kunci akses untuk mengonfirmasi bahwa Anda ingin menghapusnya, lalu pilih **Hapus**. 

------
#### [ AWS CLI & SDKs ]

**Untuk menghapus kunci akses untuk pengguna root**
**Izin minimum**  
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:  
Anda harus masuk sebagai pengguna Akun AWS root, yang tidak memerlukan izin tambahan AWS Identity and Access Management (IAM). Anda tidak dapat melakukan langkah-langkah ini sebagai pengguna atau peran IAM.
+ AWS CLI: [aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)  
**Example**  

  ```
  $ aws iam delete-access-key \
      --access-key-id AKIAIOSFODNN7EXAMPLE
  ```

  Perintah ini tidak menghasilkan output saat berhasil.
+ AWS API: [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## Tugas yang memerlukan kredensial pengguna root
<a name="root-user-tasks"></a>

Kami menyarankan Anda [mengonfigurasi pengguna administratif AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) untuk melakukan tugas sehari-hari dan mengakses AWS sumber daya. Namun, Anda dapat melakukan tugas yang tercantum di bawah ini hanya saat masuk sebagai pengguna root akun.

Untuk menyederhanakan pengelolaan kredensyal pengguna root istimewa di seluruh akun anggota di AWS Organizations, Anda dapat mengaktifkan akses root terpusat untuk membantu Anda mengamankan akses yang sangat istimewa secara terpusat ke akun Anda. Akun AWS[Kelola akses root untuk akun anggota secara terpusat](#id_root-user-access-management)memungkinkan Anda menghapus dan mencegah pemulihan kredensi pengguna root jangka panjang secara terpusat, meningkatkan keamanan akun di organisasi Anda. Setelah mengaktifkan fitur ini, Anda dapat melakukan tugas istimewa berikut di akun anggota.
+ Hapus kredensi pengguna root akun anggota untuk mencegah pemulihan akun pengguna root. Anda juga dapat mengizinkan pemulihan kata sandi untuk memulihkan kredensi pengguna root untuk akun anggota.
+ Hapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
+ Hapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.

**Tugas Manajemen Akun**
+ [Ubah Akun AWS pengaturan Anda.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) Standalone Akun AWS yang bukan bagian dari AWS Organizations memerlukan kredensyal root untuk memperbarui alamat email, kata sandi pengguna root, dan kunci akses pengguna root. Pengaturan akun lainnya, seperti nama akun, informasi kontak, kontak alternatif, preferensi mata uang pembayaran, dan Wilayah AWS, tidak memerlukan kredensi pengguna root.
**catatan**  
AWS Organizations, dengan semua fitur diaktifkan, dapat digunakan untuk mengelola pengaturan akun anggota secara terpusat dari akun manajemen dan akun admin yang didelegasikan. Pengguna IAM resmi atau peran IAM di akun manajemen dan akun admin yang didelegasikan dapat menutup akun anggota dan memperbarui alamat email root, nama akun, informasi kontak, kontak alternatif, dan akun Wilayah AWS anggota. 
+ [Tutup Anda Akun AWS.](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) Standalone Akun AWS yang bukan bagian dari AWS Organizations memerlukan kredensi root untuk menutup akun. Dengan AWS Organizations, Anda dapat menutup akun anggota secara terpusat dari akun manajemen dan akun admin yang didelegasikan.
+ [Kembalikan izin pengguna IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) Jika satu-satunya administrator IAM secara tidak sengaja mencabut izinnya sendiri, Anda dapat masuk sebagai pengguna root untuk mengedit kebijakan dan memulihkan izin tersebut.

**Tugas Penagihan**
+ [Aktifkan akses IAM ke konsol Manajemen Penagihan dan Biaya](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate).
+ Beberapa tugas Penagihan terbatas pada pengguna root. Lihat [Mengelola](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html) Panduan AWS Billing Pengguna Akun AWS di untuk informasi selengkapnya.
+ Lihat faktur pajak tertentu. Pengguna IAM dengan [aws-portal: ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) izin dapat melihat dan mengunduh faktur PPN dari AWS Eropa, tetapi tidak AWS Inc. atau (AISPL). Amazon Internet Services Private Limited

**AWS GovCloud (US) Tugas**
+ [Daftar AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html).
+ Minta kunci akses pengguna root AWS GovCloud (US) akun dari AWS Dukungan.

**Tugas Amazon EC2**
+ [Mendaftar sebagai penjual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html) di Marketplace Instans Cadangan.

**AWS KMS Tugas**
+ Jika AWS Key Management Service kunci menjadi tidak dapat dikelola, administrator dapat memulihkannya dengan menghubungi Dukungan; Namun, Dukungan menanggapi nomor telepon utama pengguna root Anda untuk otorisasi dengan mengonfirmasi OTP tiket.

**Tugas Amazon Mechanical Turk**
+  [Tautkan Anda Akun AWS ke akun MTurk Pemohon Anda](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking).

**Tugas Layanan Penyimpanan Sederhana Amazon**
+ [Konfigurasikan bucket Amazon S3 untuk mengaktifkan MFA (otentikasi multi-faktor)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html).
+ [Edit atau hapus kebijakan bucket Amazon S3 yang menyangkal semua prinsipal](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/).

  Anda dapat menggunakan tindakan istimewa untuk membuka kunci bucket Amazon S3 dengan kebijakan bucket yang salah dikonfigurasi. Lihat perinciannya di [Lakukan tugas istimewa di akun AWS Organizations anggota](id_root-user-privileged-task.md).

**Tugas Layanan Antrian Sederhana Amazon**
+ [Mengedit atau menghapus kebijakan berbasis sumber daya Amazon SQS yang menyangkal semua](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy) prinsipal.

  Anda dapat menggunakan tindakan istimewa untuk membuka kunci antrean Amazon SQS dengan kebijakan berbasis sumber daya yang salah dikonfigurasi. Lihat perinciannya di [Lakukan tugas istimewa di akun AWS Organizations anggota](id_root-user-privileged-task.md).

## Sumber daya tambahan
<a name="id_root-user-resources"></a>

Untuk informasi selengkapnya tentang pengguna AWS root, lihat sumber daya berikut:
+ Untuk bantuan terkait masalah pengguna root, lihat[Memecahkan masalah dengan pengguna root](troubleshooting_root-user.md).
+ Untuk mengelola alamat email pengguna root secara terpusat AWS Organizations, lihat [Memperbarui alamat email pengguna root untuk akun anggota](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) di *Panduan AWS Organizations Pengguna*.

Artikel berikut memberikan informasi tambahan tentang bekerja dengan pengguna root.
+ [Apa saja praktik terbaik untuk mengamankan sumber daya saya Akun AWS dan sumber dayanya?](https://repost.aws/knowledge-center/security-best-practices)
+ [Bagaimana cara membuat aturan EventBridge acara untuk memberi tahu saya bahwa pengguna root saya digunakan?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule) 
+ [Memantau dan memberi tahu aktivitas Pengguna root akun AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [Pantau aktivitas pengguna root IAM](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)