本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 帳戶根使用者
當您首次建立 Amazon Web Services (AWS) 帳戶時,您會從單一登入身分開始,該身分可完整存取帳戶中的所有 AWS 服務和資源。此身分稱為 AWS 帳戶*根使用者*。您用來建立 的電子郵件地址和密碼 AWS 帳戶 是您用來以根使用者身分登入的登入資料。
+ 僅使用根使用者來執行需要根層級許可的任務。如需檢視需要您以根使用者身分登入的任務完整清單,請參閱 [需要根使用者憑證的任務](#root-user-tasks)。
+ 遵循[適用於 AWS 帳戶的根使用者最佳實務](root-user-best-practices.md)。
+ 如果您登入時遇到問題,請參閱[登入 AWS 管理主控台](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)。
**重要**
強烈建議您不使用根使用者處理日常任務,並且遵循 [AWS 帳戶的根使用者最佳實務](root-user-best-practices.md)。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需檢視需要您以根使用者身分登入的任務完整清單,請參閱 [需要根使用者憑證的任務](#root-user-tasks)。
儘管依預設,根使用者會強制啟用 MFA,但這需要使用者在初始帳戶建立期間或登入期間依提示手動新增 MFA。如需有關使用 MFA 保護根使用者的詳細資訊,請參閱[的多重要素驗證 AWS 帳戶根使用者](enable-mfa-for-root.md)。
## 集中管理成員帳戶的根存取權
若要協助您大規模管理憑證,您可以集中安全地存取 AWS Organizations中成員帳戶的根使用者憑證。啟用 時 AWS Organizations,您可以將所有 AWS 帳戶合併為組織以進行集中管理。集中根存取權可讓您移除根使用者憑證,並對成員帳戶執行下列特權任務。
**移除成員帳戶根使用者憑證**
[集中根存取成員帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)後,您可以選擇從 Organizations 中的成員帳戶刪除根使用者憑證。您可以移除根使用者密碼、存取金鑰、簽署憑證,以及停用多重要素驗證 (MFA)。您在 Organizations 中建立的新帳戶預設沒有根使用者憑證。成員帳戶無法登入其根使用者,也無法為其根使用者執行密碼復原 (除非啟用帳戶復原)。
**執行需要根使用者憑證的特權任務**
某些任務只有在您以帳戶的根使用者身分登入時才能執行。其中一些 [需要根使用者憑證的任務](#root-user-tasks) 可以由 IAM 的管理帳戶或委派管理員執行。若要進一步了解如何對成員帳戶採取特權動作,請參閱[執行特權任務](id_root-user-privileged-task.md)。
**啟用根使用者的帳戶復原**
如果您需要復原成員帳戶的根使用者憑證,Organizations 管理帳戶或委派管理員可以執行**允許密碼復原**特權任務。有權存取成員帳戶根使用者電子郵件收件匣的人員可以[重設根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html),以復原根使用者憑證。我們建議您在完成需要存取根使用者的任務後,刪除根使用者憑證。
# 集中成員帳戶的根存取權
根使用者登入資料是指派給每個 AWS 帳戶 的初始登入資料,可完整存取帳戶中的所有 AWS 服務和資源。啟用 時 AWS Organizations,您可以將所有 AWS 帳戶合併為組織以進行集中管理。每個成員帳戶都有自己的根使用者,具有在成員帳戶中執行任何動作的預設許可。我們建議您集中保護使用 管理的 AWS 帳戶 根使用者憑證 AWS Organizations ,以防止根使用者憑證大規模復原和存取。
集中根存取權後,您可以選擇從組織的成員帳戶中刪除根使用者憑證。您可以移除根使用者密碼、存取金鑰、簽署憑證,以及停用多重要素驗證 (MFA)。依預設,您在 AWS Organizations 中建立的新帳戶沒有根使用者憑證。成員帳戶無法登入其根使用者,也無法為其根使用者執行密碼復原。
**注意**
雖然某些[需要根使用者憑證的任務](id_root-user.md#root-user-tasks)可由管理帳戶或 IAM 的委派管理員執行,但某些任務只能以帳戶的根使用者身分登入才能執行。
如果您需要復原成員帳戶的根使用者憑證才能執行這些任務之一,請遵循[執行特權任務](id_root-user-privileged-task.md)中的步驟,然後選取**允許密碼復原**。之後,有權存取成員帳戶根使用者電子郵件收件匣的人員可以遵循步驟[重設根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html),並登入成員帳戶根使用者。
我們建議您在完成需要存取根使用者的任務後,刪除根使用者憑證。
## 先決條件
在集中根存取權之前,您必須使用下列設定設定帳戶:
+ 您必須具備下列 IAM 許可:
+ `iam:GetAccessKeyLastUsed`
+ `iam:GetAccountSummary`
+ `iam:GetLoginProfile`
+ `iam:GetUser`
+ `iam:ListAccessKeys`
+ `iam:ListMFADevices`
+ `iam:ListSigningCertificates`
+ `sts:AssumeRoot`
**注意**
若要稽核成員帳戶的根使用者登入資料狀態,您可以在 AWS Organizations 成員帳戶上執行特殊權限任務時,使用 [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS 受管政策來縮小許可範圍,或使用可存取 的任何政策`iam:GetAccountSummary`。
若要產生根使用者憑證資訊報告,其他政策只需 `iam:GetAccountSummary` 動作即可產生相同的輸出。您也可以列出或取得個別根使用者憑證資訊,包括:
根使用者密碼是否存在
根使用者存取金鑰是否存在以及上次使用時間
根使用者是否具有相關聯的簽署憑證
根使用者關聯的 MFA 裝置
合併的根使用者憑證狀態清單
+ 您必須在 AWS 帳戶 中管理 [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)。
+ 您必須具有下列許可,以在組織中啟用此功能:
+ `iam:EnableOrganizationsRootCredentialsManagement`
+ `iam:EnableOrganizationsRootSessions`
+ `iam:ListOrganizationsFeatures`
+ `organizations:EnableAwsServiceAccess`
+ `organizations:ListAccountsForParent`
+ `organizations:RegisterDelegatedAdministrator`
+ 為確保最佳的主控台功能,建議啟用下列其他許可:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListOrganizationalUnitsForParent`
+ `organizations:ListParents`
+ `organizations:ListTagsForResource`
## 啟用集中式根存取權 (主控台)
**若要在 中為成員帳戶啟用此功能 AWS 管理主控台**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在主控台的導覽窗格中,選擇**根存取權管理**,然後選取**啟用**。
**注意**
如果您看到**根存取管理已停用**,請啟用 AWS Identity and Access Management 中的受信任存取 AWS Organizations。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的 [AWS IAM 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html)。
1. 在「要啟用的功能」區段中,選擇要啟用的功能。
+ 選取**根憑證管理**,以允許管理帳戶和 IAM 的委派管理員刪除成員帳戶的根使用者憑證。您必須啟用「成員帳戶中的特權根動作」,以允許成員帳戶在根使用者憑證刪除後復原其根使用者憑證。
+ 選取**成員帳戶中的特權根動作**,以允許管理帳戶和 IAM 的委派管理員執行需要根使用者憑證的特定任務。
1. (選用) 輸入授權管理根使用者存取權並對成員帳戶採取特權動作的**委派管理員**的帳戶 ID。我們建議使用用於安全或管理目的的帳戶。
1. 選擇**啟用**。
## 啟用集中式根存取權 (AWS CLI)
**從 AWS Command Line Interface (AWS CLI) 啟用集中式根存取**
1. 如果您尚未在 AWS Identity and Access Management 中啟用 的信任存取 AWS Organizations,請使用下列命令:[aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)。
1. 使用下列命令,允許管理帳戶和委派管理員刪除成員帳戶的根使用者憑證:[aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html)。
1. 使用下列命令,允許管理帳戶和委派管理員執行需要根使用者憑證的特定任務:[aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)。
1. (選用) 使用下列命令來註冊委派管理員:[aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html)。
下列範例會將帳戶 111111111111 指派為 IAM 服務的委派管理員。
```
aws organizations register-delegated-administrator
--service-principal iam.amazonaws.com
--account-id 111111111111
```
## 啟用集中式根存取 (AWS API)
**從 AWS API 啟用集中式根存取**
1. 如果您尚未在 AWS Identity and Access Management 中啟用 的受信任存取 AWS Organizations,請使用下列命令:[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)。
1. 使用下列命令,允許管理帳戶和委派管理員刪除成員帳戶的根使用者憑證:[EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html)。
1. 使用下列命令,允許管理帳戶和委派管理員執行需要根使用者憑證的特定任務:[EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)。
1. (選用) 使用下列命令來註冊委派管理員:[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)。
## 後續步驟
集中保護組織中成員帳戶的特權憑證後,請參閱[執行特權任務](id_root-user-privileged-task.md)以對成員帳戶採取特權動作。
# 在 AWS Organizations 成員帳戶上執行特權任務
IAM 的 AWS Organizations 管理帳戶或委派管理員帳戶可以對成員帳戶執行一些特殊權限任務,否則需要根使用者憑證。透過集中式根存取,這些任務會透過短期特權工作階段執行。這些工作階段提供範圍限定於特定特殊權限動作的臨時憑證,而不需要成員帳戶的根使用者登入。
啟動特權工作階段後,您可以刪除設定錯誤的 Amazon S3 儲存貯體政策、刪除設定錯誤的 Amazon SQS 佇列政策、刪除成員帳戶的根使用者憑證,以及為成員帳戶重新啟用根使用者憑證。
**注意**
若要使用集中式根存取,您必須透過管理帳戶或委派管理員帳戶以明確授予`sts:AssumeRoot`許可的 IAM 使用者或角色身分登入。您無法使用根使用者登入資料來呼叫 `sts:AssumeRoot`。
## 先決條件
您必須先具有下列設定,然後才能啟動特權工作階段:
+ 您已在組織中啟用集中式根存取權。如需啟用此功能的步驟,請參閱[集中成員帳戶的根存取權](id_root-enable-root-access.md)。
+ 您的管理帳戶或委派管理員帳戶具有下列許可:`sts:AssumeRoot`
## 對成員帳戶執行特權動作 (主控台)
**在 中為成員帳戶中的特權動作啟動工作階段 AWS 管理主控台**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在主控台的導覽窗格中,選擇**根存取權管理**。
1. 從成員帳戶清單中選取名稱,然後選擇**執行特權動作**。
1. 選擇您要在成員帳戶中執行的特權動作。
+ 選取**刪除 Amazon S3 儲存貯體政策**,以移除設定錯誤的儲存貯體政策,此政策拒絕所有主體存取 Amazon S3 儲存貯體。
1. 選擇**瀏覽 S3** 以從成員帳戶擁有的儲存貯體中選取名稱,然後選取**選擇**。
1. 選擇**刪除儲存貯體政策**。
1. 刪除設定錯誤的政策後,使用 Amazon S3 主控台來更正儲存貯體政策。如需詳細資訊,請參閱 *Amazon S3 User Guide* 中的 [Adding a bucket policy by using the Amazon S3 console](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
+ 選取**刪除 Amazon SQS 政策**,以刪除拒絕所有主體存取 Amazon SQS 佇列的 Amazon Simple Queue Service 資源型政策。
1. 在 **SQS 佇列名稱**中輸入佇列名稱,然後選取**刪除 SQS 政策**。
1. 刪除設定錯誤的政策後,使用 Amazon SQS 主控台來更正佇列政策。如需詳細資訊,請參閱《Amazon SQS 開發人員指南》**中的[在 Amazon SQS 中設定存取政策](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html)。
+ 選取**刪除根憑證**,以從成員帳戶移除根存取權。刪除根使用者憑證會移除成員帳戶的根使用者密碼、存取金鑰、簽署憑證和停用多重要素驗證 (MFA)。
1. 選擇**刪除根憑證**。
+ 選取**允許密碼復原**,以復原成員帳戶的根使用者憑證。
只有在成員帳戶沒有根使用者憑證時,才能使用此選項。
1. 選擇**允許密碼復原**。
1. 執行此特權動作後,有權存取成員帳戶根使用者電子郵件收件匣的人員可以[重設根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html),並登入成員帳戶根使用者。
## 對成員帳戶執行特權動作 (AWS CLI)
**從 為成員帳戶中的特權動作啟動工作階段 AWS Command Line Interface**
1. 使用下列命令來擔任根使用者工作階段:[aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html)。
**注意**
`sts:AssumeRoot` 不支援全域端點。您必須將此請求傳送至區域 AWS STS 端點。如需詳細資訊,請參閱[在 AWS STS 中管理 AWS 區域](id_credentials_temp_enable-regions.md)。
為成員帳戶啟動特權根使用者工作階段時,您必須定義 `task-policy-arn`,以將工作階段範圍限制為工作階段期間要執行的特權動作。您可以使用下列其中一個 AWS 受管政策,來限制特權工作階段動作的範圍。
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
若要限制管理帳戶或委派管理員在特權根使用者工作階段期間可執行的動作,您可以使用 AWS STS 條件金鑰 [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)。
在下列範例中,委派管理員假設以根使用者身分刪除成員帳戶 ID *111122223333* 的根使用者憑證。
```
aws sts assume-root \
--target-principal 111122223333 \
--task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
--duration-seconds 900
```
1. 使用回應中的 `AccessKeyId`、`SessionToken` 和 `SecretAccessKey`,在成員帳戶中執行特權動作。您可以省略請求中的使用者名稱和密碼,以預設為成員帳戶。
+ **檢查根使用者憑證的狀態**。使用下列命令,來檢查成員帳戶的根使用者憑證狀態。
+ [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
+ [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
+ [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
+ [get-access-key-last-used](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
+ **刪除根使用者憑證**。使用下列命令刪除根存取權。您可以移除根使用者密碼、存取金鑰、簽署憑證,以及停用多重要素驗證 (MFA),以移除對根使用者的所有存取和復原。
+ [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
+ [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
+ [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
+ [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
+ **刪除 Amazon S3 儲存貯體政策**。使用下列命令來讀取、編輯和刪除設定錯誤的儲存貯體政策,此政策拒絕所有主體存取 Amazon S3 儲存貯體。
+ [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
+ [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
+ [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
+ [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
+ **刪除 Amazon SQS 政策**。使用下列命令,來檢視和刪除拒絕所有主體存取 Amazon SQS 佇列的 Amazon Simple Queue Service 資源型政策。
+ [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
+ [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
+ [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
+ [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
+ **允許密碼復原**。使用下列命令來檢視使用者名稱,並復原成員帳戶的根使用者憑證。
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)
## 對成員帳戶 (AWS API) 採取特權動作
**從 AWS API 為成員帳戶中的特權動作啟動工作階段**
1. 使用下列命令來擔任根使用者工作階段:[AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)。
**注意**
AssumeRoot 不支援全域端點。您必須將此請求傳送至區域 AWS STS 端點。如需詳細資訊,請參閱[在 AWS STS 中管理 AWS 區域](id_credentials_temp_enable-regions.md)。
為成員帳戶啟動特權根使用者工作階段時,您必須定義 `TaskPolicyArn`,以將工作階段範圍限制為工作階段期間要執行的特權動作。您可以使用下列其中一個 AWS 受管政策來限制特權工作階段動作的範圍。
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
若要限制管理帳戶或委派管理員在特權根使用者工作階段期間可執行的動作,您可以使用 AWS STS 條件金鑰 [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)。
在下列範例中,委派管理員擔任根使用者身分,以讀取、編輯和刪除成員帳號 ID *111122223333* 的 Amazon S3 儲存貯體之設定錯誤的資源型政策。
```
https://sts.us-east-2.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRoot
&TargetPrincipal=111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds 900
```
1. 使用回應中的 `AccessKeyId`、`SessionToken` 和 `SecretAccessKey`,在成員帳戶中執行特權動作。您可以省略請求中的使用者名稱和密碼,以預設為成員帳戶。
+ **檢查根使用者憑證的狀態**。使用下列命令,來檢查成員帳戶的根使用者憑證狀態。
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
+ [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
+ [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
+ [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
+ **刪除根使用者憑證**。使用下列命令刪除根存取權。您可以移除根使用者密碼、存取金鑰、簽署憑證,以及停用多重要素驗證 (MFA),以移除對根使用者的所有存取和復原。
+ [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
+ [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
+ [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
+ **刪除 Amazon S3 儲存貯體政策**。使用下列命令來讀取、編輯和刪除設定錯誤的儲存貯體政策,此政策拒絕所有主體存取 Amazon S3 儲存貯體。
+ [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ **刪除 Amazon SQS 政策**。使用下列命令,來檢視和刪除拒絕所有主體存取 Amazon SQS 佇列的 Amazon Simple Queue Service 資源型政策。
+ [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
+ [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
+ [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
+ [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
+ **允許密碼復原**。使用下列命令來檢視使用者名稱,並復原成員帳戶的根使用者憑證。
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)
# 的多重要素驗證 AWS 帳戶根使用者
**重要**
AWS 建議您盡可能使用 MFA 的通行金鑰或安全金鑰 AWS,因為它們更能抵禦網路釣魚等攻擊。如需詳細資訊,請參閱[通行密鑰和安全金鑰](#passkeys-security-keys-for-root)。
多重要素驗證 (MFA) 是一種簡單且有效的機制,可增強您的安全性。第一個因素:您的密碼,是您記住的秘密,也稱為知識因素。其他因素可以是擁有因素 (您擁有的事物,例如安全金鑰) 或繼承因素 (您自身的事物,例如生物特徵掃描)。為了提高安全性,強烈建議您設定多重要素驗證 (MFA),以協助保護您的 AWS 資源。
**注意**
所有 AWS 帳戶 類型 (獨立、管理和成員帳戶) 都需要為其根使用者設定 MFA。 AWS 管理主控台 如果尚未啟用 MFA,使用者必須在第一次登入嘗試存取 的 35 天內註冊 MFA。
您可以為 AWS 帳戶根使用者 和 IAM 使用者啟用 MFA。當您為根使用者啟用 MFA 時,它僅影響根使用者憑證。如需如何針對 IAM 使用者啟用 MFA 的詳細資訊,請參閱 [AWS IAM 中的多重要素驗證](id_credentials_mfa.md)。
**注意**
AWS 帳戶 使用 受管 AWS Organizations 可以選擇[集中管理成員帳戶的根存取權](id_root-user.md#id_root-user-access-management),以防止憑證復原和大規模存取。如果啟用了此選項,您可以從成員帳戶中刪除根使用者憑證,包括密碼和 MFA,從而有效地防止以根使用者身分登入、密碼復原或設定 MFA。或者,如果您偏好使用基於密碼的登入方式,請註冊 MFA 以增強帳戶保護來確保帳戶安全。
啟用根使用者的 MFA 之前,請檢閱並[更新您的帳戶設定和聯絡資訊](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html),以確保您有權存取電子郵件和電話號碼。如果您的 MFA 裝置遺失、遭竊或無法運作,您仍然可以使用該電子郵件和電話號碼驗證身分,以根使用者身分登入。如需了解如何使用其他身分驗證方法登入的詳細資訊,請參閱[在 IAM 中復原受 MFA 保護的身分](id_credentials_mfa_lost-or-broken.md)。若要停用這項功能,請聯絡 [AWS 支援](https://console.aws.amazon.com/support/home#/)。
AWS 支援根使用者的下列 MFA 類型:
+ [通行密鑰和安全金鑰](#passkeys-security-keys-for-root)
+ [虛擬驗證器應用程式](#virtual-auth-apps-for-root)
+ [硬體 TOTP 權杖](#hardware-totp-token-for-root)
## 通行密鑰和安全金鑰
AWS Identity and Access Management 支援 MFA 的通行金鑰和安全金鑰。根據 FIDO 標準,通行金鑰使用公有金鑰密碼編譯來提供比密碼更安全的強大、網路釣魚防護身分驗證。 AWS 支援兩種類型的通行金鑰:裝置繫結的通行金鑰 (安全金鑰) 和同步的通行金鑰。
+ **安全金鑰**:這些是用作身分驗證的第二個因素的實體裝置,例如 YubiKey。單一安全金鑰可以支援多個根使用者帳戶和 IAM 使用者。
+ **同步通行密鑰**:這些使用來自提供者 (例如 Google、Apple、Microsoft 帳戶等) 和第三方服務 (例如 1Password、Dashlane 和 Bitwarden 等) 的憑證管理工具作為第二個因素。
您可以使用內建的生物識別驗證器,例如 Apple MacBooks 上的 Touch ID,解鎖您的憑證管理工具並登入 AWS。通行密鑰是透過您選擇的提供者,使用指紋、面部或裝置 PIN 碼建立的。您也可以使用一台裝置 (例如行動裝置或硬體安全金鑰) 中的跨帳戶身分驗證 (CDA) 通行密鑰,在筆記型電腦等其他裝置上登入。如需詳細資訊,請參閱 [cross-device authentication](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA)。
您可以跨裝置同步通行金鑰,以便使用 登入 AWS,增強可用性和可復原性。如需啟用通行密鑰和安全金鑰的詳細資訊,請參閱[為根使用者啟用通行密鑰或安全金鑰 (主控台)](enable-fido-mfa-for-root.md)。
FIDO Alliance 維護與 FIDO 規範相容的所有[經 FIDO 認證的產品](https://fidoalliance.org/certification/fido-certified-products/)的清單。
## 虛擬驗證器應用程式
在手機或其他裝置上執行並模擬實體裝置的虛擬驗證器應用程式。虛擬驗證器應用程式實作[以時間為基礎的一次性密碼](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP) 算法,並且支援在單台裝置上使用多個權杖。使用者必須在登入期間出現提示時輸入裝置中的有效代碼。每個指派給使用者的權杖都必須是唯一的。使用者無法輸入另一個使用者的權杖來進行身分驗證。
我們強烈建議您在等待硬體的購買核准或等待硬體就定位時,使用虛擬 MFA 裝置。如需可以用來做為虛擬 MFA 裝置的支援應用程式清單,請參閱[多重要素驗證 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。如需使用 設定虛擬 MFA 裝置的指示 AWS,請參閱 [針對根使用者啟用虛擬 MFA 裝置 (主控台)](enable-virt-mfa-for-root.md)。
## 硬體 TOTP 權杖
一種在[以時間為基礎的一次性密碼 (TOTP) 演算法](https://datatracker.ietf.org/doc/html/rfc6238)的基礎上產生六位數字程式碼的硬體裝置。使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。每個指派給使用者的 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者裝置的代碼來進行身分驗證。如需支援的硬體 MFA 裝置資訊,請參閱[多重要素驗證 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。如需使用 AWS設定硬體 TOTP 權杖的說明,請參閱 [針對根使用者啟用硬體 TOTP 權杖 (主控台)](enable-hw-mfa-for-root.md)。
如果想要使用實體 MFA 裝置,我們建議您使用 FIDO 安全金鑰作為硬體 TOTP 裝置的替代方案。FIDO 安全金鑰具有無需電池和防釣魚的優勢,而且可在單一裝置上支援多個根使用者和 IAM 使用者,以增強安全性。
**Topics**
+ [通行密鑰和安全金鑰](#passkeys-security-keys-for-root)
+ [虛擬驗證器應用程式](#virtual-auth-apps-for-root)
+ [硬體 TOTP 權杖](#hardware-totp-token-for-root)
+ [為根使用者啟用通行密鑰或安全金鑰 (主控台)](enable-fido-mfa-for-root.md)
+ [針對根使用者啟用虛擬 MFA 裝置 (主控台)](enable-virt-mfa-for-root.md)
+ [針對根使用者啟用硬體 TOTP 權杖 (主控台)](enable-hw-mfa-for-root.md)
# 為根使用者啟用通行密鑰或安全金鑰 (主控台)
您只能從 為根使用者設定和啟用通行金鑰 AWS 管理主控台 ,而不是從 AWS CLI 或 AWS API。
**若要為您的根使用者啟用通行密鑰或安全金鑰 (主控台)**
1. 開啟 [AWS 管理主控台](https://console.aws.amazon.com/),並使用您的根使用者憑證登入。
如需說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者的 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。
1. 在導覽列右側選擇您的帳戶名稱,然後選擇 **安全憑證** 。
![\[在導覽選單中的安全憑證\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 在根使用者**我的安全憑證**頁面的**多重要素驗證 (MFA)** 下,選擇**指派 MFA 裝置**。
1. 在 **MFA 裝置名稱**頁面上,輸入**裝置名稱**,選擇**通行密鑰或安全金鑰**,然後選擇**下一步**。
1. 在**設定裝置**上,設定您的通行密鑰。使用臉部或指紋等生物識別資料、裝置 PIN,或將 FIDO 安全金鑰插入電腦的 USB 連接埠並點選,由此建立通行密鑰。
1. 遵循瀏覽器上的指示,選擇通行密鑰提供者或您要存放通行密鑰的位置,以便跨裝置使用。
1. 選擇**繼續**。
您現在已註冊要與 搭配使用的通行密鑰 AWS。下一次當您使用根使用者憑證登入時,您必須使用通行密鑰進行驗證,才能完成登入程序。
如需針對 FIDO 安全金鑰問題進行疑難排解的協助,請參閱[對通行密鑰和 FIDO 安全金鑰進行疑難排解](troubleshoot_mfa-fido.md)。
# 針對根使用者啟用虛擬 MFA 裝置 (主控台)
您可以使用 AWS 管理主控台 為您的根使用者設定和啟用虛擬 MFA 裝置。若要為 啟用 MFA 裝置 AWS 帳戶,您必須 AWS 使用根使用者憑證登入 。
**設定和啟用虛擬 MFA 裝置以與根使用者一起使用 (主控台)**
1. 開啟 [AWS 管理主控台](https://console.aws.amazon.com/),並使用您的根使用者憑證登入。
如需說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者的 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。
1. 在導覽列右側,選擇您的帳戶名稱,然後選擇 **安全憑證** 。
![\[在導覽選單中的安全憑證\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 在 **Multi-Factor Authentication (MFA)** (多重要素驗證 (MFA)) 區段中,選擇 **Assign MFA device** (指派 MFA 裝置)。
1. 在精靈中輸入 **Device name**,然後選擇 **驗證器應用程式**,再選擇 **下一步**。
IAM 將產生並顯示虛擬 MFA 裝置的配置資訊,包括 QR 碼圖形。此圖形是私密組態金鑰的表示形式,適用於不支援 QR 代碼的裝置上的手動輸入。
1. 在裝置上開啟虛擬 MFA 應用程式。
如果虛擬 MFA 應用程式支援多個虛擬 MFA 裝置或帳戶,請選擇對應的選項以建立新的虛擬 MFA 裝置或帳戶。
1. 設定應用程式的最簡單方法是使用該應用程式掃描 QR 條碼。如果您無法掃描代碼,則可以手動輸入組態資訊。IAM 產生的 QR 程式碼和私密組態金鑰會繫結至您的 AWS 帳戶 ,無法與不同的 帳戶搭配使用。但是,如果您無法存取原始 MFA 裝置,則他們可以重複使用,以便為您的帳戶設定新的 MFA 裝置。
+ 若要使用 QR 碼設定虛擬 MFA 裝置,請從精靈中選擇 **Show QR code (顯示 QR 碼)**。然後,遵循應用程式說明來掃描代碼。例如,您可能需要選擇相機圖示,或選擇與 **Scan account barcode (掃描帳戶代碼)** 相似的命令,然後使用裝置的相機掃描 QR 碼。
+ 在 **Set up device** (設定裝置) 精靈中,選擇 **Show secret key** (顯示私密金鑰),然後在您的 MFA 應用程式中輸入私密金鑰。
**重要**
對 QR 條碼或私密組態金鑰進行安全備份,或確保為您的帳戶啟用多台 MFA 裝置。您可以向 AWS 帳戶根使用者 和 IAM 使用者註冊最多**八個**[目前支援 MFA 類型之任何組合的 MFA](https://aws.amazon.com/iam/features/mfa/) 裝置。虛擬 MFA 裝置可能無法使用,例如,如果您遺失託管在虛擬 MFA 裝置的智慧型手機。如果發生這種情況且您沒有連接到使用者的其他 MFA 裝置,甚至無法透過 [復原根使用者 MFA 裝置](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken) 登入您的帳戶,您將無法登入您的帳戶,您必須[聯絡客戶服務](https://support.aws.amazon.com/#/contacts/aws-mfa-support)以移除該帳戶的 MFA 保護。
裝置開始產生六位數的號碼。
1. 在精靈中的 **MFA code 1** (MFA 代碼 1) 方塊內,輸入虛擬 MFA 裝置上目前顯示的一次性密碼。請等待 30 秒,裝置將產生新的一次性密碼。然後將第二個一次性密碼輸入 **MFA code 2 (MFA 代碼 2)** 方塊中。選擇 **Add MFA** (新增 MFA)。
**重要**
產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以[重新同步裝置](id_credentials_mfa_sync.md)。
裝置已準備好與 搭配使用 AWS。如需與 AWS 管理主控台一起使用 MFA 的詳細資訊,請參閱 [啟用 MFA 的登入](console_sign-in-mfa.md)。
# 針對根使用者啟用硬體 TOTP 權杖 (主控台)
您只能從 AWS 管理主控台 為根使用者設定和啟用實體 MFA 裝置,而不是從 AWS CLI 或 AWS API。
**注意**
您可能會看到不同的文字,例如**使用 MFA 登入**和**對您的身分驗證裝置進行疑難排解**。不過,其功能是相同的。在任一情況下,若無法使用其他身分驗證要素來驗證您的帳戶電子郵件地址和電話號碼,請聯絡 [AWS 支援](https://aws.amazon.com/forms/aws-mfa-support)刪除您的 MFA 設定。
**若要針對您的根使用者啟用硬體 TOTP 權杖 (主控台)**
1. 開啟 [AWS 管理主控台](https://console.aws.amazon.com/),並使用您的根使用者憑證登入。
如需說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者的 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。
1. 在導覽列右側選擇您的帳戶名稱,然後選擇 **安全憑證** 。
![\[在導覽選單中的安全憑證\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 展開 **Multi-factor authentication (MFA)** (多重要素驗證 (MFA)) 區段。
1. 選擇 **Assign MFA device** (指派 MFA 裝置)。
1. 在精靈中,輸入一個**裝置名稱**,然後選取 **Hardware TOTP token** (硬體 TOTP 權杖),再選擇 **Next** (下一步)。
1. 在 **Serial number (序號)** 方塊中,輸入在 MFA 裝置背面找到的序號。
1. 在 **MFA code 1 (MFA 代碼 1)** 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。
![\[IAM 儀表板,MFA 裝置\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/MFADevice.png)
1. 當裝置在重新整理代碼時,等候 30 秒時間後,在 **MFA code 2 (MFA 代碼 2)** 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。
1. 選擇 **Add MFA** (新增 MFA)。現在,MFA 裝置已與 AWS 帳戶建立關聯。
**重要**
產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以[重新同步裝置](id_credentials_mfa_sync.md)。
下次使用根使用者憑證登入時,您必須輸入 MFA 裝置的代碼。
# 變更 的密碼 AWS 帳戶根使用者
您可以在[安全憑證](https://console.aws.amazon.com/iam/home?#security_credential)或**帳戶**頁面上變更電子郵件地址和密碼。您也可以在 AWS 登入頁面上選擇**忘記密碼?** 來重設密碼。
若要變更根使用者的密碼,您必須以 身分登入 AWS 帳戶根使用者 ,而不是以 IAM 使用者身分登入。若要了解如何重設*忘記的*根使用者密碼,請參閱 [重設遺失或忘記的根使用者密碼](reset-root-password.md)。
為了保護您的密碼,請務必遵循這些最佳實務:
+ 定期變更您的密碼。
+ 請保持您密碼的私密性,因為任何獲知您的密碼的人員都能存取您的帳戶。
+ 在 上使用 AWS 不同於您在其他網站上使用的密碼。
+ 避免使用容易猜中的密碼。這些密碼包含,例如 `secret`、`password`、`amazon` 或 `123456`。另外還要避免使用字典字詞、您的名字、電子郵件地址或其他可以輕鬆取得的個人資訊。
**重要**
AWS 帳戶 使用 受管 AWS Organizations 可能已啟用成員帳戶的[集中式根存取](id_root-user.md#id_root-user-access-management)。這些成員帳戶沒有根使用者憑證,無法以根使用者身分登入,而且無法復原根使用者密碼。如果需要執行要求根使用者憑證的任務,請聯絡您的管理員。
------
#### [ AWS 管理主控台 ]
**變更根使用者的密碼**
**最低許可**
若要執行下列步驟,您至少必須擁有下列 IAM 許可:
您必須以 AWS 帳戶 根使用者身分登入,這不需要額外的 AWS Identity and Access Management (IAM) 許可。您無法以 IAM 使用者或角色的身分執行這些步驟。
1. 開啟 [AWS 管理主控台](https://console.aws.amazon.com/),並使用您的根使用者憑證登入。
如需說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者的 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。
1. 在主控台的右上角,選擇帳戶名稱或號碼,然後選取**安全憑證**。
1. 在**帳戶**頁面的**帳戶設定**旁,選擇**編輯**。出於安全目的,系統會提示您再次進行身分驗證。
**注意**
如果您看不到**編輯**選項,則可能是您未以帳戶根使用者的身分登入。在以 IAM 使用者或角色的身分登入時,您無法修改帳戶設定。
1. 在**更新帳戶設定**頁面上,選擇**密碼**下方的**編輯**。
1. 在**更新您的密碼**頁面上,填寫**目前的密碼**、**新密碼**和**確認新密碼**欄位。
**重要**
確保選擇強式密碼。雖然您可以設定 IAM 使用者的帳戶密碼政策,但該政策不適用於根使用者。
AWS 需要您的密碼符合下列條件:
+ 它必須至少有 8 個字元,最多 128 個字元。
+ 它至少混用 3 種下列類型字元:大寫、小寫、數字和 \$1 @ \$1 \$1 % ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-= 符號。
+ 它不能與 AWS 帳戶 您的姓名或電子郵件地址相同。
1. 選擇**儲存變更**。
------
#### [ AWS CLI or AWS SDK ]
中 AWS CLI 或其中一個 AWS SDKs 的 API 操作不支援此任務。您只能使用 來執行此任務 AWS 管理主控台。
------
# 重設遺失或忘記的根使用者密碼
當您第一次建立 時 AWS 帳戶,您提供了電子郵件地址和密碼。這些是您的 AWS 帳戶根使用者 登入資料。若您忘記根使用者密碼,可從 AWS 管理主控台重設密碼。
AWS 帳戶 使用 受管 AWS Organizations 可能已啟用成員帳戶的[集中式根存取](id_root-user.md#id_root-user-access-management)。這些成員帳戶沒有根使用者憑證,無法以根使用者身分登入,而且無法復原根使用者密碼。如果需要執行要求根使用者憑證的任務,請聯絡您的管理員。
**重要**
**無法登入 AWS?** 請確定您位在使用者類型的正確 [AWS 登入頁面](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)。如果您是 AWS 帳戶根使用者 (帳戶擁有者),您可以使用您在建立 時設定的登入資料登入 AWS AWS 帳戶。如果您是 IAM 使用者,您的帳戶管理員可以為您提供可用來登入 AWS的憑證。如果您需要請求支援,請勿使用此頁面上的意見回饋連結,因為表單是由 AWS 文件團隊接收,而不是 支援。相反地,在[聯絡我們](https://aws.amazon.com/contact-us/)頁面上,選擇**仍然無法登入 AWS 您的帳戶**,然後選擇其中一個可用的支援選項。
**若要重設您的根使用者密碼**
1. 開啟 [AWS 管理主控台](https://console.aws.amazon.com/),並使用您的根使用者憑證登入。
如需說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者的 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。
**注意**
如果您是使用 *IAM 使用者憑證*登入 [AWS 管理主控台](https://console.aws.amazon.com/),則必須先登出再重設根使用者密碼。如果您看到帳戶專屬的 IAM 使用者登入頁面,請選擇頁面底部旁的 **Sign-in using root account credentials** (使用根帳戶憑證來登入)。如有需要,請提供您的帳戶電子郵件地址,然後選擇 **Next** (下一步),以存取 **Root user sign in** (根使用者登入) 頁面。
1. 選擇 **Forgot your password? (忘記您的密碼?)**。
**注意**
如果您是 IAM 使用者,則此選項無法使用。**忘記您的密碼?**選項僅適用於根使用者帳戶。IAM 使用者必須要求管理員重設已忘記的密碼。如需詳細資訊,請參閱[我忘記 AWS 帳戶的 IAM 使用者密碼](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password)。如果您透過 AWS 存取入口網站登入,請參閱[重設 IAM Identity Center 使用者密碼](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html)。
1. 提供與帳戶相關聯的電子郵件地址。然後提供 CAPTCHA 文字並選擇 **Continue (繼續)**。
1. 檢查與您的 相關聯的電子郵件 AWS 帳戶 是否有來自 Amazon Web Services 的訊息。電子郵件來自於結尾為 `@verify.signin.aws` 的地址。請遵循電子郵件中的指示進行。若您在帳戶中沒有看到電子郵件,請檢查您的垃圾郵件資料夾。如果您不再能夠存取電子郵件,請參閱*AWS 登入 《 使用者指南*》中的[我無法存取我 AWS 帳戶的電子郵件](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console)。
# 為根使用者建立存取金鑰
**警告**
我們強烈建議您**不要**為您的根使用者建立存取金鑰對。由於[只有少數任務需要根使用者,](id_root-user.md#root-user-tasks)而且您通常不常執行這些任務,因此我們建議您登入 AWS 管理主控台 以執行根使用者任務。在建立存取金鑰前,請檢閱[長期存取金鑰的替代方案](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys)。
雖然我們不建議這麼做,但您可以為您的根使用者建立存取金鑰,以便您可以在 AWS Command Line Interface (AWS CLI) 中執行命令,或使用根使用者憑證從其中一個 AWS SDKs 使用 API 操作。當您建立存取金鑰時,可以將存取金鑰 ID 與私密存取金鑰建立為一組。在建立存取金鑰期間, AWS 可讓您有機會檢視和下載存取金鑰的私密存取金鑰部分。如果您沒有下載或者遺失私密存取金鑰,可以先刪除再建立新的存取金鑰。您可以使用 主控台 AWS CLI或 AWS API 建立根使用者存取金鑰。
新建立存取金鑰的狀態為「作用中」**,這表示您可以使用存取金鑰進行 CLI 和 API 呼叫。您可以將最多兩個存取金鑰指派給根使用者。
未使用的存取金鑰應該停用。一旦存取金鑰處於非作用中,您將無法用它來進行 API 呼叫。非作用中金鑰仍會計入您的限制。您可以隨時建立或刪除存取金鑰。不過,刪除存取金鑰之後,即永久消失且無法擷取。
------
#### [ AWS 管理主控台 ]
**建立 的存取金鑰 AWS 帳戶根使用者**
**最低許可**
若要執行下列步驟,您至少必須擁有下列 IAM 許可:
您必須以 AWS 帳戶 根使用者身分登入,這不需要額外的 AWS Identity and Access Management (IAM) 許可。您無法以 IAM 使用者或角色的身分執行這些步驟。
1. 開啟 [AWS 管理主控台](https://console.aws.amazon.com/),並使用您的根使用者憑證登入。
如需說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者的 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。
1. 在主控台的右上角,選擇您的帳戶名稱或號碼,然後選擇 **安全憑證** 。
1. 在**存取金鑰**區段中,選擇**建立存取金鑰**。如果此選項不可用,表示您所擁有的存取金鑰已達最大數目。您必須先刪除其中一個現有的存取金鑰,才能建立新的金鑰。如需詳細資訊,請參閱 [IAM 物件配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)。
1. 在**根使用者存取金鑰的替代方案**頁面上,檢閱安全建議。若要繼續,請選取核取方塊,然後選擇**建立存取金鑰**。
1. 在**擷取存取金鑰**頁面上,會顯示您的**存取金鑰** ID。
1. 在**私密存取金鑰**下方,選擇**顯示**,然後從您的瀏覽器視窗複製存取金鑰 ID 和私密金鑰,將其貼到安全的地方。或者,您可以選擇**下載 .csv 檔案**,這樣做會下載一個名為 `rootkey.csv` 的檔案,其中包含存取金鑰 ID 和私密金鑰。將檔案儲存到安全的位置。
1. 選擇**完成**。當您不再需要存取金鑰時,[我們建議您將其刪除](id_root-user_manage_delete-key.md),或者至少考慮停用該金鑰,以防止其他人濫用。
------
#### [ AWS CLI & SDKs ]
**若要為根使用者建立存取金鑰**
**注意**
若要以根使用者身分執行下列命令或 API 操作,您必須已有一個作用中的存取金鑰對。如果您沒有任何存取金鑰,可使用 AWS 管理主控台建立第一個存取金鑰。然後,您可以將該第一個存取金鑰中的登入資料與 搭配使用 AWS CLI ,以建立第二個存取金鑰,或刪除存取金鑰。
+ AWS CLI:[aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
**Example**
```
$ aws iam create-access-key
{
"AccessKey": {
"UserName": "MyUserName",
"AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
"Status": "Active",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"CreateDate": "2021-04-08T19:30:16+00:00"
}
}
```
+ AWS API:*IAM API 參考*中的 [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)。
------
# 刪除根使用者的存取金鑰
您可以使用 AWS 管理主控台、 AWS CLI 或 AWS API 來刪除根使用者存取金鑰。
------
#### [ AWS 管理主控台 ]
**若要刪除根使用者的存取金鑰**
**最低許可**
若要執行下列步驟,您至少必須擁有下列 IAM 許可:
您必須以 AWS 帳戶 根使用者身分登入,這不需要額外的 AWS Identity and Access Management (IAM) 許可。您無法以 IAM 使用者或角色的身分執行這些步驟。
1. 開啟 [AWS 管理主控台](https://console.aws.amazon.com/),並使用您的根使用者憑證登入。
如需說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者的 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。
1. 在主控台的右上角,選擇您的帳戶名稱或號碼,然後選擇 **安全憑證** 。
1. 在**存取金鑰**區段中,選擇您想要刪除的存取金鑰,然後在**動作**下方選擇**刪除**。
**注意**
或者,您可以**停用**存取金鑰,而不是永久刪除它。這可讓您在未來繼續使用它,而無需變更金鑰 ID 或私密金鑰。當金鑰處於非作用中狀態時,任何在 AWS API 請求中使用金鑰的嘗試都會失敗,錯誤存取遭拒。
1. 在**刪除 ** 對話方塊中,選擇**停用**,輸入存取金鑰 ID 以確認您想要刪除它,然後選擇**刪除**。
------
#### [ AWS CLI & SDKs ]
**若要刪除根使用者的存取金鑰**
**最低許可**
若要執行下列步驟,您至少必須擁有下列 IAM 許可:
您必須以 AWS 帳戶 根使用者身分登入,這不需要額外的 AWS Identity and Access Management (IAM) 許可。您無法以 IAM 使用者或角色的身分執行這些步驟。
+ AWS CLI:[aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)
**Example**
```
$ aws iam delete-access-key \
--access-key-id AKIAIOSFODNN7EXAMPLE
```
此命令成功後就不會產生輸出。
+ AWS API:[DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
------
## 需要根使用者憑證的任務
建議您[在 中設定管理使用者 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html),以執行每日任務和存取 AWS 資源。不過,您可以只以帳戶根使用者身分登入來執行任務下面所列的任務。
為了簡化在 中跨成員帳戶管理特權根使用者憑證 AWS Organizations,您可以啟用集中式根存取,以協助您集中保護對 的高度特權存取 AWS 帳戶。 [集中管理成員帳戶的根存取權](#id_root-user-access-management)可讓您集中移除和防止長期根使用者憑證復原,改善組織中的帳戶安全性。啟用此功能後,您可以對成員帳戶執行下列特權任務。
+ 移除成員帳戶根使用者憑證,以防止根使用者的帳戶復原。您也可以允許密碼復原,來復原成員帳戶的根使用者憑證。
+ 移除設定錯誤的儲存貯體政策,此政策拒絕所有主體存取 Amazon S3 儲存貯體。
+ 刪除拒絕所有主體存取 Amazon SQS 佇列的 Amazon Simple Queue Service 資源型政策。
**帳戶管理任務**
+ [變更 AWS 帳戶 設定。](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)不屬於 AWS Organizations 的獨立 AWS 帳戶 需要根登入資料,才能更新電子郵件地址、根使用者密碼和根使用者存取金鑰。其他帳戶設定,例如帳戶名稱、聯絡資訊、替代聯絡人、付款貨幣偏好設定 AWS 區域,以及不需要根使用者憑證。
**注意**
AWS Organizations啟用所有功能之後,可用於從管理帳戶和委派管理員帳戶集中管理成員帳戶設定。管理帳戶和委派管理員帳戶中的授權 IAM 使用者或 IAM 角色可以關閉成員帳戶,並更新成員帳戶的根電子郵件地址、帳戶名稱、聯絡資訊、替代聯絡人和 AWS 區域 。
+ [關閉您的 AWS 帳戶。](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)不屬於 的獨立 AWS 帳戶 AWS Organizations 需要根登入資料才能關閉帳戶。使用 AWS Organizations,您可以從管理帳戶和委派的管理員帳戶集中關閉成員帳戶。
+ [還原 IAM 使用者許可。](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)如果唯一的 IAM 管理員不小心撤銷自己的許可,您可以根使用者的身分登入,即可編輯政策和還原這些許可。
**帳單任務**
+ [啟動對帳單與成本管理主控台的 IAM 存取](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate)。
+ 一些帳單任務僅限於根使用者。如需詳細資訊,請參閱 AWS Billing [《 使用者指南》中的管理 AWS 帳戶](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html) 。
+ 檢視特定稅務發票。具有 [aws-portal:ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) 許可的 IAM 使用者可以從 AWS 歐洲檢視和下載增值稅發票,但不能從 AWS Inc. 或 Amazon Internet Services Private Limited(AISPL) 下載增值稅發票。
**AWS GovCloud (US) 任務**
+ [註冊 AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html)。
+ 從 請求 AWS GovCloud (US) 帳戶根使用者存取金鑰 AWS 支援。
**Amazon EC2 任務**
+ 在預留執行個體市場[註冊為賣方](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html)。
**AWS KMS 任務**
+ 如果 AWS Key Management Service 金鑰變成無法管理,管理員可以透過聯絡 來復原金鑰 支援;不過, 會透過確認票證 OTP 來 支援 回應根使用者的主要電話號碼以進行授權。
**Amazon Mechanical Turk 任務**
+ [將您的 AWS 帳戶 連結至您的 MTurk 申請者帳戶](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking)。
**Amazon Simple Storage Service 任務**
+ [設定 Amazon S3 儲存貯體,以啟用 MFA (多重因素認證)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)。
+ [編輯或刪除拒絕所有主體的 Amazon S3 儲存貯體政策](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/)。
您可以使用特權動作,來解除鎖定儲存貯體政策設定錯誤的 Amazon S3 儲存貯體。如需詳細資訊,請參閱[在 AWS Organizations 成員帳戶上執行特權任務](id_root-user-privileged-task.md)。
**Amazon Simple Queue Service 任務**
+ [編輯或刪除拒絕所有主體的 Amazon SQS 資源型政策](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy)。
您可以使用特權動作,來解除鎖定資源型政策設定錯誤的 Amazon SQS 佇列。如需詳細資訊,請參閱[在 AWS Organizations 成員帳戶上執行特權任務](id_root-user-privileged-task.md)。
## 其他資源
如需 AWS 根使用者的詳細資訊,請參閱下列資源:
+ 如需根使用者問題的協助,請參閱 [使用根使用者來疑難排解問題](troubleshooting_root-user.md)。
+ 若要集中管理 中的根使用者電子郵件地址 AWS Organizations,請參閱*AWS Organizations 《 使用者指南*》中的[更新成員帳戶的根使用者電子郵件地址](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)。
下列文章將提供有關如何使用根使用者的更多資訊。
+ [保護我 AWS 帳戶 及其資源的最佳實務有哪些?](https://repost.aws/knowledge-center/security-best-practices)
+ [如何建立 EventBridge 事件規則,以便在有人使用我的根使用者時通知我?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule)
+ [監控並通知 AWS 帳戶根使用者 活動](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/)
+ [監控 IAM 根使用者活動](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)