# AWS 账户根用户
当您首次创建 Amazon Web Services (AWS) 账户时,最初使用的是一个对账户中所有 AWS 服务和资源具有完全访问权限的单点登录身份。此身份称作 AWS 账户*根用户*。您用于创建 AWS 账户 的电子邮件地址和密码是您以根用户登录时使用的凭证。
+ 仅使用根用户执行需要根级别权限的任务。有关需要您以根用户身份登录的任务的完整列表,请参阅 [需要根用户凭证的任务](#root-user-tasks)。
+ 请遵循[您的 AWS 账户 的根用户最佳实践](root-user-best-practices.md)。
+ 如果您在登录时遇到问题,请参阅 [Sign in to the AWS 管理控制台](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)。
**重要**
强烈建议您不要使用根用户来执行日常任务,并遵循[您的 AWS 账户 的根用户的最佳实践](root-user-best-practices.md)。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表,请参阅 [需要根用户凭证的任务](#root-user-tasks)。
虽然默认情况下将对根用户强制执行 MFA,但需要客户在初始账户创建期间,或根据登录时的提示进行操作才能添加 MFA。有关使用 MFA 保护根用户的更多信息,请参阅 [AWS 账户根用户 的多重身份验证](enable-mfa-for-root.md)。
## 集中管理成员账户的根访问权限
为了帮助您大规模管理凭证,您可以在 AWS Organizations 中集中保护对成员账户的根用户凭证的访问。启用 AWS Organizations 后,您可以将所有 AWS 账户合并到一个组织中进行集中管理。通过集中根访问,您可以移除根用户凭证,并对成员账户执行以下特权任务。
**移除成员账户的根用户证书**
[集中成员账户的根访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)后,您可以选择从 Organizations 的成员账户中删除根用户凭证。您可以移除根用户密码、访问密钥、签名证书,并停用多重身份验证(MFA)。默认情况下,您在 Organizations 中创建的新账户不具有根用户证书。除非启用账户恢复,否则成员账户不能登录到他们的根用户或为其根用户执行密码恢复。
**执行需要根用户凭证的特权任务**
有些任务只能在您以账户的根用户身份登录时执行。其中一些 [需要根用户凭证的任务](#root-user-tasks) 可以由管理账户或 IAM 的委派管理员执行。要了解有关对成员账户采取特权操作的更多信息,请参阅[执行特权任务](id_root-user-privileged-task.md)。
**启用根用户的账户恢复**
如果您需要恢复成员账户的根用户凭证,则 Organizations 管理账户或委派管理员可以执行**允许密码恢复**特权任务。有权访问成员账户的根用户电子邮件收件箱的人可以[重置根用户密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html),以恢复根用户证书。建议您在完成需要访问根用户的任务后删除根用户凭证。
# 集中成员账户的根访问
根用户凭证是分配给具有对账户中所有 AWS 服务和资源的完全访问权限的每个 AWS 账户的初始凭证。启用 AWS Organizations 后,您可以将所有 AWS 账户合并到一个组织中进行集中管理。每个成员账户都有自己的根用户,该用户拥有在成员账户中执行任何操作的默认权限。建议您集中保护使用 AWS Organizations 管理的 AWS 账户的根用户凭证,以防止大规模的根用户凭证恢复和访问。
集中根访问后,您可以选择从组织的成员账户中删除根用户凭证。您可以移除根用户密码、访问密钥、签名证书,并停用多重身份验证(MFA)。默认情况下,您在 AWS Organizations 中创建的新账户不具有根用户凭证。成员账户不能登录到他们的根用户或为其根用户执行密码恢复。
**注意**
有些[需要根用户凭证的任务](id_root-user.md#root-user-tasks)可以由 IAM 的管理账户或委托管理员来执行,而有些任务只能在您以账户根用户登录时执行。
如果需要恢复成员账户的根用户凭证来执行其中一项任务,请遵照 [执行特权任务](id_root-user-privileged-task.md) 中的步骤,然后选择**允许找回密码**。然后有权访问该成员账户的根用户电子邮件收件箱的人可以按照步骤[重置根用户密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html),并登录到成员账户根用户。
建议您在完成需要访问根用户的任务后删除根用户凭证。
## 先决条件
在集中根访问之前,必须为账户配置以下设置:
+ 您必须具有以下 IAM 权限:
+ `iam:GetAccessKeyLastUsed`
+ `iam:GetAccountSummary`
+ `iam:GetLoginProfile`
+ `iam:GetUser`
+ `iam:ListAccessKeys`
+ `iam:ListMFADevices`
+ `iam:ListSigningCertificates`
+ `sts:AssumeRoot`
**注意**
要审计成员账户的根用户凭证状态时,可在对 AWS Organizations 成员账户执行特权任务时使用 [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS 托管策略缩小权限范围,或使用任何具有 `iam:GetAccountSummary` 访问权限的策略。
要生成根用户凭证信息报告,其他策略只需要执行 `iam:GetAccountSummary` 操作即可生成相同的输出。您还可以列出或获取个人根用户凭证信息,包括:
是否有根用户密码
是否有根用户访问密钥以及上次使用该密钥的时间
如果根用户关联了签名证书
根用户关联的 MFA 设备
统一的根用户凭证状态列表
+ 必须在 [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html) 中管理您的 AWS 账户。
+ 您必须具有以下权限才能在组织中启用此功能:
+ `iam:EnableOrganizationsRootCredentialsManagement`
+ `iam:EnableOrganizationsRootSessions`
+ `iam:ListOrganizationsFeatures`
+ `organizations:EnableAwsServiceAccess`
+ `organizations:ListAccountsForParent`
+ `organizations:RegisterDelegatedAdministrator`
+ 为确保获得最佳控制台功能,建议启用以下附加权限:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListOrganizationalUnitsForParent`
+ `organizations:ListParents`
+ `organizations:ListTagsForResource`
## 启用集中的根访问(控制台)
**要在 AWS 管理控制台中为成员账户启用此功能**
1. 登录 AWS 管理控制台,然后通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在控制台的导航窗格中,选择**根访问权限管理**,然后选择**启用**。
**注意**
如果您看到**已禁用根访问权限管理**,请在 AWS Identity and Access Management 中启用 AWS Organizations 的可信访问。有关详细信息,请参阅《AWS Organizations 用户指南》**中的 [AWS IAM 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html)。
1. 在“要启用的功能”部分,选择要启用的功能。
+ 选择**根凭证管理**,以允许管理账户和 IAM 的委派管理员删除成员账户的根用户凭证。您必须在成员账户中启用特权根操作,以允许成员账户在删除其根用户凭证后恢复这些凭证。
+ 选择**成员账户中的特权根操作**,以允许管理账户和 IAM 的委派管理员执行某些需要根用户凭证的任务。
1. (可选)输入获得授权管理根用户访问并对成员账户采取特权措施的**委派管理员**的账户 ID。建议使用用于安全或管理目的的账户。
1. 请选择**启用**。
## 启用集中的根访问(AWS CLI)
**要从 AWS Command Line Interface(AWS CLI)启用集中式根用户访问权限**
1. 如果您尚未在 AWS Organizations 中启用 AWS Identity and Access Management 的可信访问权限,则请使用以下命令:[aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)。
1. 使用以下命令允许管理账户和委派管理员删除成员账户的根用户凭证:[aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html)。
1. 使用以下命令允许管理账户和委派管理员执行需要根用户凭证的特定任务:[aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)。
1. (可选)使用以下命令注册委派管理员:[aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html)。
以下示例将账户 111111111111 分配为 IAM 服务的委派管理员。
```
aws organizations register-delegated-administrator
--service-principal iam.amazonaws.com
--account-id 111111111111
```
## 启用集中的根访问(AWS API)
**要从 AWS API 启用集中式根用户访问权限**
1. 如果您尚未在 AWS Organizations 中启用 AWS Identity and Access Management 的可信访问权限,则请使用以下命令:[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)。
1. 使用以下命令允许管理账户和委派管理员删除成员账户的根用户凭证:[EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html)。
1. 使用以下命令允许管理账户和委派管理员执行需要根用户凭证的特定任务:[EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)。
1. (可选)使用以下命令注册委派管理员:[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)。
## 后续步骤
集中保护组织中成员账户的特权凭证后,请参阅[执行特权任务](id_root-user-privileged-task.md)以对成员账户采取特权操作。
# 在 AWS Organizations 成员账户上执行特权任务
AWS Organizations 管理账户或IAM的委托管理员账户,可以在成员账户上执行一些原本需要根用户凭证的特权任务。通过集中式根访问权限,这些任务通过短期特权会话执行。这些会话提供限于特定特权操作的临时凭证,无需根用户登录成员账户。
启动特权会话后,您可以删除配置错误的 Amazon S3 存储桶策略、删除配置错误的 Amazon SQS 队列策略、删除成员账户的根用户凭证,以及重新启用成员账户的根用户凭证。
**注意**
要使用集中式根访问权限,您必须通过管理账户或委托管理员账户,以被明确授予 `sts:AssumeRoot` 权限的 IAM 用户或角色身份登录。您可以使用根用户凭证来调用 `sts:AssumeRoot`。
## 先决条件
在启动特权会话之前,您必须具备以下设置:
+ 您已在组织中启用集中根访问。有关启用此功能的步骤,请参阅[集中成员账户的根访问](id_root-enable-root-access.md)。
+ 您的管理账户或委派管理员账户具有以下权限:`sts:AssumeRoot`
## 对成员账户执行特权操作(控制台)
**要在 AWS 管理控制台中为成员账户的特权操作启动会话**
1. 登录 AWS 管理控制台,然后通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在控制台的导航窗格中,选择**根访问管理**。
1. 从成员账户列表中选择一个名称,然后选择**采取特权操作**。
1. 选择您想要在成员账户中执行的特权操作。
+ 选择**删除 Amazon S3 存储桶策略**,以删除一项配置错误的存储桶策略,此策略将会拒绝所有主体访问 Amazon S3 存储桶策略。
1. 选择**浏览 S3**,从成员账户拥有的存储桶中选择一个名称,然后选择**选择**。
1. 选择**删除存储桶策略**。
1. 在删除配置错误的策略后,使用 Amazon S3 控制台来纠正存储桶策略。有关更多信息,请参阅《Amazon S3 用户指南》**中的[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
+ 选择**删除 Amazon SQS 策略**,以删除 Amazon Simple Queue Service 基于资源的策略,此策略将会拒绝所有主体访问 Amazon SQS 队列。
1. 在 **SQS 队列名称**中输入队列名称,然后选择**删除 SQS 策略**。
1. 在删除配置错误的策略后,使用 Amazon SQS 控制台来纠正队列策略。有关更多信息,请参阅《Amazon SQS 开发人员指南》**中的 [Configuring an access policy in Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html)。
+ 选择**删除根凭证**,以删除成员账户的根访问权限。删除根用户凭证将会移除根用户密码、访问密钥、签名证书并停用成员账户的多重身份验证(MFA)。
1. 选择**删除根凭证**。
+ 选择**允许密码恢复**,以恢复成员账户的根用户凭证。
仅当成员账户没有根用户凭证时,此选项才可用。
1. 选择**允许恢复密码**。
1. 执行此特权操作后,有权访问该成员账户的根用户电子邮件收件箱的人可以[重置根用户密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)并登录到成员账户根用户。
## 对成员账户执行特权操作(AWS CLI)
**要从 AWS Command Line Interface 中为成员账户的特权操作启动会话**
1. 使用以下命令假设根用户会话:[aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html)。
**注意**
全局端点不支持 `sts:AssumeRoot`。您必须将此请求发送到区域的 AWS STS 端点。有关更多信息,请参阅 [管理 AWS 区域中的 AWS STS](id_credentials_temp_enable-regions.md)。
在为成员账户启动特权根用户会话时,必须定义 `task-policy-arn`,以将会话的范围限定到会话期间要执行的特权操作。您可以使用以下 AWS 托管策略之一来限定特权会话操作的范围。
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
要限制管理账户或委派管理员在特权根用户会话期间可以执行的操作,您可以使用 AWS STS 条件键 [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)。
在以下示例中,委派管理员担任根用户来删除成员账户 ID *111122223333* 的根用户凭证。
```
aws sts assume-root \
--target-principal 111122223333 \
--task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
--duration-seconds 900
```
1. 使用响应中的 `SessionToken`、`AccessKeyId` 和 `SecretAccessKey` 在成员账户中执行特权操作。您可以省略请求中的用户名和密码,以默认设置为成员账户。
+ **检查根用户凭证的状态**。使用以下命令检查成员账户的根用户凭证状态。
+ [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
+ [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
+ [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
+ [get-access-key-last-used](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
+ **删除根用户凭证**。使用以下命令删除根访问。您可以移除根用户密码、访问密钥、签名证书,并停用多重身份验证(MFA),以移除对根用户的所有访问及根用户的恢复。
+ [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
+ [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
+ [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
+ [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
+ **删除 Amazon S3 存储桶策略**。使用以下命令读取、编辑和删除配置错误的存储桶策略,该策略拒绝所有主体访问 Amazon S3 存储桶。
+ [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
+ [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
+ [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
+ [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
+ **删除 Amazon SQS 策略**。使用以下命令查看并删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
+ [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
+ [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
+ [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
+ [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
+ **允许密码恢复**。使用以下命令查看用户名并恢复成员账户的根用户凭证。
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)
## 对成员账户执行特权操作(AWS API)
**要从 AWS API 中为成员账户的特权操作启动会话**
1. 使用以下命令假设根用户会话:[AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)。
**注意**
全局端点不支持 AssumeRoot。您必须将此请求发送到区域的 AWS STS 端点。有关更多信息,请参阅 [管理 AWS 区域中的 AWS STS](id_credentials_temp_enable-regions.md)。
在为成员账户启动特权根用户会话时,必须定义 `TaskPolicyArn`,以将会话的范围限定到会话期间要执行的特权操作。您可以使用以下 AWS 托管策略之一来限定特权会话操作的范围。
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
要限制管理账户或委派管理员在特权根用户会话期间可以执行的操作,您可以使用 AWS STS 条件键 [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)。
在以下示例中,委派管理员担任根用户来读取、编辑和删除成员账户 ID *111122223333* 的 Amazon S3 存储桶中配置错误的基于资源的策略。
```
https://sts.us-east-2.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRoot
&TargetPrincipal=111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds 900
```
1. 使用响应中的 `SessionToken`、`AccessKeyId` 和 `SecretAccessKey` 在成员账户中执行特权操作。您可以省略请求中的用户名和密码,以默认设置为成员账户。
+ **检查根用户凭证的状态**。使用以下命令检查成员账户的根用户凭证状态。
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
+ [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
+ [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
+ [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
+ **删除根用户凭证**。使用以下命令删除根访问。您可以移除根用户密码、访问密钥、签名证书,并停用多重身份验证(MFA),以移除对根用户的所有访问及根用户的恢复。
+ [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
+ [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
+ [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
+ **删除 Amazon S3 存储桶策略**。使用以下命令读取、编辑和删除配置错误的存储桶策略,该策略拒绝所有主体访问 Amazon S3 存储桶。
+ [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ **删除 Amazon SQS 策略**。使用以下命令查看并删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
+ [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
+ [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
+ [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
+ [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
+ **允许密码恢复**。使用以下命令查看用户名并恢复成员账户的根用户凭证。
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)
# AWS 账户根用户 的多重身份验证
**重要**
AWS 建议您在登录 AWS 时,尽可能使用通行密钥或安全密钥,因为它们更能抵御网络钓鱼等攻击。有关更多信息,请参阅 [通行密钥和安全密钥](#passkeys-security-keys-for-root)。
多重身份验证 (MFA) 是一种用于增强安全性的简单而有效的机制。第一个因素(密码)是您记住的秘密,也称为知识因素。其他因素可以是拥有因素(您拥有的东西,例如安全密钥)或固有因素(您与生俱来的东西,例如生物识别扫描)。为增强安全性,我们强烈建议您配置多重身份验证(MFA)以帮助保护 AWS 资源。
**注意**
所有 AWS 账户 账户类型(独立账户、管理账户和成员账户)都需要为其根用户配置 MFA。如果尚未启用 MFA,则用户必须在首次登录尝试访问 AWS 管理控制台后 35 天内注册 MFA。
您可以为 AWS 账户根用户 和 IAM 用户启用 MFA。当您为根用户启用 MFA 时,它仅影响根用户凭证。有关如何为 IAM 用户启用 MFA 的更多信息,请参阅 [IAM 中的 AWS 多重身份验证](id_credentials_mfa.md)。
**注意**
使用 AWS Organizations 托管的 AWS 账户可以选择[集中管理成员账户的根访问权限](id_root-user.md#id_root-user-access-management),以防止凭证恢复和大规模访问。如果启用此选项,则可以从成员账户中删除根用户凭证,包括密码和 MFA,从而有效地阻止以根用户身份登录、进行密码恢复或设置 MFA。或者,如果您希望维护基于密码的登录方法,请通过注册 MFA 来保护您的账户,以增强账户保护。
为您的根用户启用 MFA 之前,请查看并[更新您的账户设置和联系信息](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html),以确保您可以访问电子邮件和电话号码。如果您的 MFA 设备丢失、被盗或无法工作,您仍可以通过使用相应的电子邮件和电话号码验证您的身份,以作为根用户登录。要了解如何使用替代的身份验证因素登录,请参阅 [在 IAM 中恢复受 MFA 保护的身份](id_credentials_mfa_lost-or-broken.md)。要禁用此功能,请联系 [AWS 支持](https://console.aws.amazon.com/support/home#/)。
AWS 为根用户支持以下 MFA 类型:
+ [通行密钥和安全密钥](#passkeys-security-keys-for-root)
+ [虚拟身份验证器应用程序](#virtual-auth-apps-for-root)
+ [硬件 TOTP 令牌](#hardware-totp-token-for-root)
## 通行密钥和安全密钥
AWS Identity and Access Management 对 MFA 支持通行密钥和安全密钥。基于 FIDO 标准,通行密钥使用公有密钥加密技术来提供比密码更安全的强大防网络钓鱼身份验证。AWS 支持两种类型的通行密钥:设备绑定通行密钥(安全密钥)和同步通行密钥。
+ **安全密钥**:这些是物理设备,例如 YubiKey,用作身份验证的第二个因素。单个安全密钥可以支持多个根用户账户和 IAM 用户。
+ **同步通行密钥**:它们使用来自 Google、Apple、Microsoft 账户等提供商的凭证管理器以及第三方服务(例如 1Password、Dashlane 和 Bitwarden)作为第二个因素。
您可以使用内置生物识别身份验证器(例如,Apple MacBook 上的 Touch ID)来解锁凭证管理器并登录 AWS。通行密钥是通过您选择的提供商使用您的指纹、面部或设备 PIN 创建的。您还可以使用一台设备(如移动设备或硬件安全密钥)上的跨设备身份验证 (CDA) 密钥在另一台设备(如笔记本电脑)上登录。有关更多信息,请参阅[跨设备身份验证](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA)。
您可以跨设备同步通行密钥以方便登录 AWS,从而增强可用性和可恢复性。有关启用通行密钥和安全密钥的更多信息,请参阅 [为根用户启用密钥或安全密钥(控制台)](enable-fido-mfa-for-root.md)。
FIDO 联盟维护一份与 FIDO 规范兼容的所有经 [FIDO 认证产品](https://fidoalliance.org/certification/fido-certified-products/)的列表。
## 虚拟身份验证器应用程序
虚拟身份验证器应用程序在电话或其他设备上运行,并模拟物理设备。虚拟身份验证器应用程序采用[基于时间的一次性密码](https://datatracker.ietf.org/doc/html/rfc6238)(TOTP)算法,并支持单个设备上的多个令牌。在登录期间,用户必须在出现提示时从该设备键入有效代码。分配给用户的每个令牌必须是唯一的。用户无法从另一个用户的令牌键入代码来进行身份验证。
我们建议您在等待硬件购买批准或等待硬件到达时使用虚拟 MFA 设备。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表,请参阅[多重身份验证(MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。有关使用 AWS 设置虚拟 MFA 设备的说明,请参阅 [为根用户启用虚拟 MFA 设备(控制台)](enable-virt-mfa-for-root.md)。
## 硬件 TOTP 令牌
硬件设备以[基于时间的一次性密码(TOTP)算法](https://datatracker.ietf.org/doc/html/rfc6238)为基础生成六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每台 MFA 设备必须是唯一的。用户无法从另一个用户的设备键入代码来进行身份验证。有关受支持硬件 MFA 设备的信息,请参阅[多重身份验证(MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。有关使用 AWS 设置硬件 TOTP 令牌的说明,请参阅 [为根用户启用硬件 TOTP 令牌(控制台)](enable-hw-mfa-for-root.md)。
如果想使用物理 MFA 设备,我们建议使用 FIDO 安全密钥来代替硬件 TOTP 设备。FIDO 安全密钥具有无需电池、可抵御网络钓鱼的优点,并且支持在单台设备上使用多个根用户和 IAM 用户,从而增强安全性。
**Topics**
+ [通行密钥和安全密钥](#passkeys-security-keys-for-root)
+ [虚拟身份验证器应用程序](#virtual-auth-apps-for-root)
+ [硬件 TOTP 令牌](#hardware-totp-token-for-root)
+ [为根用户启用密钥或安全密钥(控制台)](enable-fido-mfa-for-root.md)
+ [为根用户启用虚拟 MFA 设备(控制台)](enable-virt-mfa-for-root.md)
+ [为根用户启用硬件 TOTP 令牌(控制台)](enable-hw-mfa-for-root.md)
# 为根用户启用密钥或安全密钥(控制台)
您只能从 AWS 管理控制台 为根用户配置和启用密钥,而不能从 AWS CLI 或 AWS API 配置和启用。
**为您的根用户启用密钥或安全密钥(控制台)**
1. 打开 [AWS 管理控制台](https://console.aws.amazon.com/),使用根用户凭证登录。
有关说明,请参阅《AWS 登录 User Guide》**中的 [Sign in to the AWS 管理控制台 as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)。
1. 在导航栏的右侧,选择您的账户名称,然后选择 **Security Credentials**(安全凭证)。
![\[导航菜单中的安全凭证\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 在您的根用户**我的安全凭证**页面的**多重身份验证(MFA)**下,选择**分配 MFA 设备**。
1. 在 **MFA 设备名称**页面上,输入**设备名称**,选择**密钥或安全密钥**,然后选择**下一步**。
1. 在**设置设备**上,设置您的密钥。使用面部或指纹等生物识别数据、设备 PIN 码或将 FIDO 安全密钥插入计算机的 USB 端口并点按即可创建密钥。
1. 按照浏览器上的说明选择密钥提供商或想要存储密钥的位置,以便在设备上使用。
1. 选择**继续**。
现在,您已经注册了用于 AWS 的密钥。下次使用根用户凭证登录时,您必须使用您的密钥进行身份验证才能完成登录过程。
有关对 FIDO 安全密钥问题进行故障排除的帮助信息,请参阅 [排查通行密钥和 FIDO 安全密钥问题](troubleshoot_mfa-fido.md)。
# 为根用户启用虚拟 MFA 设备(控制台)
您可以使用 AWS 管理控制台 为根用户配置和启用虚拟 MFA 设备。要为 AWS 账户 启用 MFA 设备,您必须使用根用户凭证登录 AWS。
**配置和启用虚拟 MFA 设备以用于您的根用户(控制台)**
1. 打开 [AWS 管理控制台](https://console.aws.amazon.com/),使用根用户凭证登录。
有关说明,请参阅《AWS 登录 User Guide》**中的 [Sign in to the AWS 管理控制台 as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)。
1. 在导航栏右侧,选择您的账户名称,然后选择 **Security Credentials**(安全凭证)。
![\[导航菜单中的安全凭证\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 在 **Multi-Factor Authentication (MFA)** [多重身份验证(MFA)] 部分中,选择 **Assign MFA device**(分配 MFA 设备)。
1. 在向导中,键入**设备名称**,选择**身份验证器应用程序**,然后选择**下一步**。
IAM 将生成并显示虚拟 MFA 设备的配置信息,包括 QR 代码图形。此图形是秘密配置密钥的表示形式,适用于不支持 QR 代码的设备上的手动输入。
1. 在设备上打开虚拟 MFA 应用程序。
如果虚拟 MFA 应用程序支持多个虚拟 MFA 设备或账户,请选择相应的选项以创建新的虚拟 MFA 设备或账户。
1. 要配置应用程序,最简单的方法是使用应用程序扫描 QR 代码。如果您无法扫描代码,则可手动键入配置信息。IAM 生成的二维码和私有配置密钥与您的 AWS 账户 关联,不能用于其他账户。但是,如果您失去对原始 MFA 设备的访问权,可以重新使用它们为您的账户配置新的 MFA 设备。
+ 要使用 QR 代码配置虚拟 MFA 设备,请在向导中,选择 **Show QR code (显示 QR 代码)**。然后,按照应用程序说明扫描代码。例如,您可能需要选择摄像头图标或选择**扫描账户条形码**等命令,然后使用设备的摄像头扫描 QR 代码。
+ 在 **Set up device**(设置设备)向导中,选择 **Show secret key**(显示私有密钥),然后在您的 MFA 应用程序中键入私有密钥。
**重要**
对二维码或私有配置密钥进行安全备份,或确保为您的账户启用多台 MFA 设备。您最多可以向 AWS 账户根用户 和 IAM 用户注册 **8** 台[当前支持的 MFA 类型](https://aws.amazon.com/iam/features/mfa/)任意组合的 MFA 设备。虚拟 MFA 设备可能变为不可用(例如,如果丢失了承载虚拟 MFA 设备的智能手机)。如果发生这种情况,并且您无法在没有其他 MFA 设备附加到用户的情况下登录账户,甚至无法通过 [恢复根用户用户 MFA 设备](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken) 登录,则您将无法登录您的账户,您将不得不[联系客户服务](https://support.aws.amazon.com/#/contacts/aws-mfa-support)以删除对该账户的 MFA 保护。
设备开始生成六位数编码。
1. 在向导的 **MFA code 1**(MFA 代码 1)框中,键入虚拟 MFA 设备上当前显示的一次性密码。请等候 30 秒,以便设备生成新的一次性密码。然后在 **MFA code 2 (MFA 代码 2)** 框中键入第二个一次性密码。选择 **Add MFA**(添加 MFA)。
**重要**
生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码(TOTP)很快会过期。这种情况下,您可以[重新同步设备](id_credentials_mfa_sync.md)。
设备已准备就绪,可在 AWS 上使用。有关在 AWS 管理控制台上使用 MFA 的信息,请参阅 [已启用 MFA 的登录](console_sign-in-mfa.md)。
# 为根用户启用硬件 TOTP 令牌(控制台)
您只能从 AWS 管理控制台 为根用户配置和启用实体 MFA 设备,而不能从 AWS CLI 或 AWS API 配置和启用。
**注意**
您可能会看到不同的文本,例如**使用 MFA 登录**和**排除您的身份验证设备故障**。不过,它们提供了相同的功能。在任一情况下,如果您无法使用替代身份验证因素验证您的账户电子邮件地址和电话号码,请与 [AWS 支持](https://aws.amazon.com/forms/aws-mfa-support) 联系以删除您的 MFA 设置。
**为根用户启用硬件 TOTP 令牌(控制台)**
1. 打开 [AWS 管理控制台](https://console.aws.amazon.com/),使用根用户凭证登录。
有关说明,请参阅《AWS 登录 User Guide》**中的 [Sign in to the AWS 管理控制台 as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)。
1. 在导航栏的右侧,选择您的账户名称,然后选择 **Security Credentials**(安全凭证)。
![\[导航菜单中的安全凭证\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 展开 **Multi-factor authentication (MFA) (多重验证)** 部分。
1. 选择 **Assign MFA device**(分配 MFA 设备)。
1. 在向导中,键入 **Device name**(设备名称),选择 **Hardware TOTP token**(硬件 TOTP 令牌),然后选择 **Next**(下一步)。
1. 在 **Serial Number (序列号)** 框中,键入在 MFA 设备背面找到的序列号。
1. 在 **MFA code 1 (MFA 代码 1)** 框中,输入 MFA 设备显示的六位数编码。您需要按设备正面的按钮来显示编码。
![\[IAM 控制面板,MFA 设备\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/MFADevice.png)
1. 在设备刷新期间等候 30 秒,然后在 **MFA code 2 (MFA 代码 2)** 框中键入第二个六位数编码。您需要再次按设备正面的按钮来显示第二个编码。
1. 选择 **Add MFA**(添加 MFA)。MFA 设备现已与 AWS 账户 相关联。
**重要**
在生成身份验证代码后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码(TOTP)很快会过期。这种情况下,您可以[重新同步设备](id_credentials_mfa_sync.md)。
下次使用根用户凭证登录时,您必须键入 MFA 设备生成的代码。
# 更改AWS 账户根用户密码
您可以前往[安全凭证](https://console.aws.amazon.com/iam/home?#security_credential)或**账户**页面,更改电子邮件地址和密码。您还可以选择 AWS 登录页面上的 **Forgot password?** 来重置您的密码。
要更改根用户密码,您必须以AWS 账户根用户登录,而非以 IAM 用户身份登录。要了解如何重置已经*忘记的*根用户密码,请参阅 [重置丢失或遗忘的根用户密码](reset-root-password.md)。
为保护您的密码,请务必遵循以下最佳实践:
+ 定期更改密码。
+ 妥善保管密码,因为任何知道您密码的人都可以访问您的账户。
+ 不要为 AWS 使用您在其他网站上使用的密码。
+ 不要使用容易猜到的密码。此类密码包括 `secret`、`password`、`amazon`、`123456` 等。此外还应避免使用字典中的单词、姓名、电子邮件地址或可以轻松获取的其他个人信息。
**重要**
使用 AWS Organizations 管理的 AWS 账户可能为成员账户启用了[集中的根访问](id_root-user.md#id_root-user-access-management)。这些成员账户没有根用户凭证,无法以根用户身份登录,并且无法恢复根用户密码。如果您需要执行需要根用户凭证的任务,则请联系您的管理员。
------
#### [ AWS 管理控制台 ]
**为根用户更改密码**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
您必须以 AWS 账户根用户身份登录,这将不需要其他 AWS Identity and Access Management(IAM)权限。您无法以 IAM 用户或角色身份执行这些步骤。
1. 打开 [AWS 管理控制台](https://console.aws.amazon.com/),使用根用户凭证登录。
有关说明,请参阅《AWS 登录 User Guide》**中的 [Sign in to the AWS 管理控制台 as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)。
1. 在控制台的右上角选择您的账户名称或账号,然后选择**安全凭证**。
1. 在**账户**页面上的**账户设置**旁,选择**编辑**。出于安全考虑,系统会提示您重新验证身份。
**注意**
如果您没有看到**编辑**选项,则可能是因为您并非以账户根用户身份登录。以 IAM 用户或角色身份登录时,您无法修改账户设置。
1. 在**更新账户设置**页面的**密码**下,选择**编辑**。
1. 在**更新密码**页面上,填写**当前密码**、**新密码**和**确认新密码**字段。
**重要**
请务必选择一个强密码。虽然您可能为 IAM 用户设置了账户密码策略,但该策略不适用于您的根用户。
AWS 要求您的密码满足以下条件:
+ 长度必须至少 8 个字符,最多 128 个字符。
+ 必须至少包含以下字符类型中三种的组合:大写字母、小写字母、数字,以及 \$1 @ \$1 \$1 % ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-= 符号。
+ 不得与您的 AWS 账户名称或电子邮件地址相同。
1. 选择**保存更改**。
------
#### [ AWS CLI or AWS SDK ]
AWS CLI 或来自任何一种 AWS 的 API 操作均不支持此任务。您只能使用 AWS 管理控制台执行此任务。
------
# 重置丢失或遗忘的根用户密码
当您首次创建 AWS 账户 时,您提供了电子邮件地址和密码。这些是您的 AWS 账户根用户凭证。如果您忘记根用户密码,可以从 AWS 管理控制台 重置密码。
使用 AWS Organizations 管理的 AWS 账户可能为成员账户启用了[集中的根访问](id_root-user.md#id_root-user-access-management)。这些成员账户没有根用户凭证,无法以根用户身份登录,并且无法恢复根用户密码。如果您需要执行需要根用户凭证的任务,则请联系您的管理员。
**重要**
**登录 AWS 时遇到问题?** 请确保使用的是适合您用户类型的 [AWS 登录页面](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)。如果您是 AWS 账户根用户(账户拥有者),则可以使用您在创建 AWS 账户 时设置的凭证登录 AWS。如果您是 IAM 用户,则您的账户管理员可以向您提供用于登录 AWS 的凭证。如果您需要请求支持,请不要使用此页面上的反馈链接,因为该表由 AWS 文档团队(而非 支持)接收。请在[联系我们](https://aws.amazon.com/contact-us/)页面上选择**仍然无法登录 AWS 账户**,然后选择一个可用的支持选项。
**重置根用户密码**
1. 打开 [AWS 管理控制台](https://console.aws.amazon.com/),使用根用户凭证登录。
有关说明,请参阅《AWS 登录 User Guide》**中的 [Sign in to the AWS 管理控制台 as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)。
**注意**
如果您已使用 *IAM 用户*凭证登录到 [AWS 管理控制台](https://console.aws.amazon.com/),则必须注销,然后才能重置根用户密码。如果您看到特定于账户的 IAM 用户登录页面,请选择页面底部附近的**使用根账户凭证登录**。如有必要,请提供您的账户电子邮件地址并选择**下一步**来访问**根用户登录**页面。
1. 选择 **Forgot your password?**。
**注意**
如果您是 IAM 用户,则此选项不可用。**忘记密码?**选项仅适用于根用户账户。IAM 用户必须让其管理员重置忘记的密码。有关更多信息,请参阅[我忘记了我 AWS 账户的 IAM 用户密码](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password)。如果您通过 AWS 访问门户登录,请参阅[重置您的 IAM Identity Center 用户密码](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html)。
1. 提供与该账户关联的电子邮件地址。然后,提供 CAPTCHA 文本并选择 **Continue**。
1. 检查与您的 AWS 账户 相关联的电子邮件邮箱中有无来自 Amazon Web Services 的邮件。该电子邮件来自以 `@verify.signin.aws` 结尾的地址。按照电子邮件中的指导进行操作。如果您在账户中未看到电子邮件,请检查垃圾邮件文件夹。如果您无法访问电子邮件,请参阅《AWS 登录 用户指南》**中的[我无权访问我 AWS 账户的电子邮件](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console)。
# 创建根用户的访问密钥
**警告**
强烈建议您**不要**创建根用户访问密钥对。由于 [只有少数任务需要根用户](id_root-user.md#root-user-tasks),而且您通常不经常执行这些任务,因此我们建议登录到 AWS 管理控制台 来执行根用户任务。在创建访问密钥之前,请认真阅读 [长期访问密钥的替代方法](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys)。
您可以为根用户创建访问密钥,以便您可以在 AWS Command Line Interface(AWS CLI)中使用根用户凭证运行命令,或使用根用户凭证从某个 AWS SDK 使用 API 操作,但我们不建议这样做。当您创建访问密钥时,您会将访问密钥 ID 和秘密访问密钥创建为一个集。在创建访问密钥的过程中,AWS 仅允许您查看和下载一次访问密钥的秘密访问密钥部分。如果您未下载或丢失了访问密钥,则可删除访问密钥,然后创建新的访问密钥。您可以使用控制台、AWS CLI 或 AWS API 创建根用户访问密钥。
新创建的访问密钥的状态为*已激活*,这意味着,您可以使用访问密钥进行 CLI 和 API 调用。您最多可以为根用户分配两个访问密钥。
停用未使用的访问密钥。一旦访问密钥处于非活动状态,则无法将其用于 API 调用。非活动的密钥仍将计入您的限制。您随时可以创建或删除访问密钥。不过,当您删除访问密钥时,意味着永久删除且无法恢复。
------
#### [ AWS 管理控制台 ]
**创建 AWS 账户根用户的访问密钥**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
您必须以 AWS 账户根用户身份登录,这将不需要其他 AWS Identity and Access Management(IAM)权限。您无法以 IAM 用户或角色身份执行这些步骤。
1. 打开 [AWS 管理控制台](https://console.aws.amazon.com/),使用根用户凭证登录。
有关说明,请参阅《AWS 登录 User Guide》**中的 [Sign in to the AWS 管理控制台 as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)。
1. 在控制台的右上角选择您的账户名称或账号,然后选择**安全凭证**。
1. 在**访问密钥**部分,选择**创建访问密钥**。如果此选项不可用,则说明您拥有的访问密钥已达到最大数量。您必须首先删除一个现有的访问密钥,然后才能创建新的密钥。有关更多信息,请参阅 [IAM 对象限额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)。
1. 在**根用户访问密钥的替代方案**页面上,查看相关安全建议。要继续操作,请选中该复选框,然后选择**创建访问密钥**。
1. 在**检索访问密钥**页面上,将显示您的**访问密钥** ID。
1. 选择**秘密访问密钥**下的**显示**,然后从浏览器窗口复制访问密钥 ID 和私有密钥,并将其粘贴到其他位置。您还可以选择**下载 .csv 文件**,这时将会下载一个名为 `rootkey.csv` 的文件,其中包含访问密钥 ID 和私有密钥。将该文件安全保存在某个位置。
1. 选择**完成**。如果您不再需要该访问密钥,[我们建议您将其删除](id_root-user_manage_delete-key.md),或者至少考虑将其停用,以免任何人不当使用。
------
#### [ AWS CLI & SDKs ]
**创建根用户的访问密钥**
**注意**
要以根用户身份运行以下命令或 API 操作,您必须事先拥有一个有效的访问密钥对。如果您没有任何访问密钥,请使用 AWS 管理控制台 创建第一个访问密钥。然后可以将第一个访问密钥中的凭证与 AWS CLI 结合使用,从而创建第二个访问密钥或删除访问密钥。
+ AWS CLI:[aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
**Example**
```
$ aws iam create-access-key
{
"AccessKey": {
"UserName": "MyUserName",
"AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
"Status": "Active",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"CreateDate": "2021-04-08T19:30:16+00:00"
}
}
```
+ AWS API:《IAM API 参考》中的 [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)**。
------
# 删除根用户的访问密钥
您不能使用 AWS 管理控制台、AWS CLI 或 AWS API 删除根用户访问密钥。
------
#### [ AWS 管理控制台 ]
**删除根用户的访问密钥**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
您必须以 AWS 账户根用户身份登录,这将不需要其他 AWS Identity and Access Management(IAM)权限。您无法以 IAM 用户或角色身份执行这些步骤。
1. 打开 [AWS 管理控制台](https://console.aws.amazon.com/),使用根用户凭证登录。
有关说明,请参阅《AWS 登录 User Guide》**中的 [Sign in to the AWS 管理控制台 as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)。
1. 在控制台的右上角选择您的账户名称或账号,然后选择**安全凭证**。
1. 在**访问密钥**部分中,选择要删除的访问密钥,然后在**操作**下选择**删除**。
**注意**
您也可以**停用**访问密钥,而不是将其永久删除。这样,您将来可以继续使用它,而无需更改密钥 ID 或私有密钥。密钥处于非活动状态时,任何在 AWS API 请求中使用该密钥的尝试都会失败,并返回访问被拒绝错误。
1. 在**删除 <访问密钥 ID>**对话框中,选择**停用**,输入访问密钥 ID 以确认要将其删除,然后选择**删除**。
------
#### [ AWS CLI & SDKs ]
**删除根用户的访问密钥**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
您必须以 AWS 账户根用户身份登录,这将不需要其他 AWS Identity and Access Management(IAM)权限。您无法以 IAM 用户或角色身份执行这些步骤。
+ AWS CLI:[aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)
**Example**
```
$ aws iam delete-access-key \
--access-key-id AKIAIOSFODNN7EXAMPLE
```
如果成功,此命令不会产生任何输出。
+ AWS API:[DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
------
## 需要根用户凭证的任务
我们建议您[在 AWS IAM Identity Center 中配置管理用户](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html),以用来执行日常任务和访问 AWS 资源。不过,您只能在以账户的根用户身份登录时才能执行下列任务。
为了简化在 AWS Organizations 中跨成员账户管理特权根用户凭证的过程,您可以启用集中根访问来帮助您集中保护对您的 AWS 账户高权限访问。[集中管理成员账户的根访问权限](#id_root-user-access-management) 允许您集中删除和防止长期根用户凭证恢复,从而提高组织中的账户安全性。启用此功能后,您可以在成员账户上执行以下特权任务。
+ 删除成员账户根用户凭证,以防止根用户的账户恢复。您还可以允许密码恢复操作,以恢复成员账户的根用户凭证。
+ 删除一项配置错误的存储桶策略,此策略拒绝所有主体访问 Amazon S3 存储桶策略。
+ 删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
**账户管理任务**
+ [更改 AWS 账户 设置。](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)不属于 AWS Organizations 的独立 AWS 账户需要根凭证才能更新电子邮件地址、根用户密码和根用户访问密钥。其他账户设置(例如账户名称、联系人信息、备用联系人、付款货币偏好和 AWS 区域)不需要根用户凭证。
**注意**
启用所有功能后,AWS Organizations 可用于从管理账户和委托管理员账户集中管理成员账户设置。管理账户和委托管理员账户中的授权 IAM 用户或 IAM 角色可以关闭成员账户,并更新根电子邮件地址、账户名称、联系人信息、备用联系人和成员账户的 AWS 区域。
+ [关闭 AWS 账户。](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)不属于 AWS Organizations 的独立 AWS 账户需要根凭证才能关闭账户。借助 AWS Organizations,您可以从管理账户和委托管理员账户集中关闭成员账户。
+ [恢复 IAM 用户权限。](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)如果唯一的 IAM 管理员意外撤消了自己的权限,您可以使用根用户身份登录来编辑策略并还原这些权限。
**计费任务**
+ [激活 IAM 对账单和成本管理控制台的访问权限](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate)。
+ 某些计费任务仅限于根用户。有关更多信息,请参阅《AWS Billing 用户指南》中的[管理 AWS 账户](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html)。
+ 查看特定税务发票。具有 [aws-portal:ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) 权限的 IAM 用户可以查看和下载 AWS 欧洲的增值税发票,但不能查看和下载 AWS Inc 或 Amazon Internet Services Private Limited(AISPL)的增值税发票。
**AWS GovCloud (US) 任务**
+ [注册 AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html)。
+ 向 AWS 支持 请求 AWS GovCloud (US) 账户根用户访问密钥。
**Amazon EC2 任务**
+ 已在预留实例 Marketplace 中[注册为卖家](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html)。
**AWS KMS 任务**
+ 如果 AWS Key Management Service 密钥变得无法管理,则管理员可以通过联系 支持 来进行恢复;但是,支持 会通过确认票证 OTP 来响应根用户的主电话号码进行授权。
**Amazon Mechanical Turk 任务**
+ [将您的 AWS 账户 关联到您的 mTurk 请求者账户](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking)。
**Amazon Simple Storage Service 任务**
+ [配置 Amazon S3 存储桶以启用 MFA(多重身份验证)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)。
+ [编辑或删除拒绝所有主体的 Amazon S3 存储桶策略](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/)。
您可以使用特权操作来解锁存储桶策略配置错误的 Amazon S3 存储桶。有关更多信息,请参阅 [在 AWS Organizations 成员账户上执行特权任务](id_root-user-privileged-task.md)。
**Amazon Simple Queue Service 任务**
+ [编辑或删除拒绝所有主体的 Amazon SQS 基于资源的策略](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy)。
您可以使用特权操作来解锁基于资源的策略配置错误的 Amazon SQS 队列。有关更多信息,请参阅 [在 AWS Organizations 成员账户上执行特权任务](id_root-user-privileged-task.md)。
## 其他资源
有关 AWS 根用户的更多信息,请参阅以下资源:
+ 有关根用户问题的帮助,请参阅 [排查根用户问题](troubleshooting_root-user.md)。
+ 要在 AWS Organizations 中集中管理根用户电子邮件地址,请参阅*《AWS Organizations 用户指南》*中的[更新成员账户的根用户电子邮件地址](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)。
以下文章提供了有关使用根用户的更多信息。
+ [哪些最佳实践有利于保护我的 AWS 账户以及其中的资源?](https://repost.aws/knowledge-center/security-best-practices)
+ [如何创建 EventBridge 事件规则,已在我的根用户被人使用时通知我?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule)
+ [监控 AWS 账户根用户活动并发出通知](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/)
+ [监控 IAM 根用户活动](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)