Usuario raíz de la cuenta de AWS
Cuando se crea por primera vez una cuenta de Amazon Web Services (AWS), la dirección de correo electrónico y la contraseña que se proporcionan son las credenciales de su usuario raíz, que tiene acceso a todos los servicios y recursos de AWS en la cuenta.
-
Utilice el usuario raíz únicamente para realizar las tareas que requieren permisos a nivel raíz. Para obtener la lista completa de tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz.
-
Siga las prácticas recomendadas del usuario raíz para su Cuenta de AWS.
-
Si tiene problemas para iniciar sesión, consulte Inicie sesión en la AWS Management Console.
Cuando se crea por primera vez una cuenta de Amazon Web Services (AWS), se comienza con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la cuenta de AWS y se accede a ella iniciando sesión con la dirección de email y la contraseña que utilizó para crear la cuenta.
importante
Se recomienda encarecidamente no utilizar el usuario raíz para las tareas cotidianas y seguir las prácticas recomendadas para el usuario raíz para la Cuenta de AWS. Proteja las credenciales del usuario raíz y utilícelas sólo para las tareas que el usuario raíz pueda realizar. Para obtener la lista completa de tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz.
Administre de forma centralizada el acceso raíz a las cuentas de miembros
Para ayudarlo a administrar las credenciales a escala, puede proteger de forma centralizada el acceso a las credenciales de usuario raíz de las cuentas de miembros en AWS Organizations. Cuando habilita AWS Organizations, se combinan todas las cuentas de AWS de una organización para que puedan ser administradas de manera centralizada. La centralización del acceso raíz le permite eliminar credenciales de usuario raíz y realizar las siguientes tareas con privilegios en las cuentas de miembros.
- Eliminación de las credenciales de usuario raíz de las cuentas de miembros
-
Tras centralizar el acceso raíz para las cuentas de miembros, puede optar por eliminar las credenciales de usuario raíz de las cuentas de miembros de Organizations. Puede eliminar la contraseña del usuario raíz, las claves de acceso y los certificados de firma, así como desactivar y eliminar la autenticación multifactor (MFA). Las cuentas nuevas que cree en Organizations no tienen credenciales de usuario raíz de forma predeterminada. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz a menos que la recuperación de cuentas esté habilitada.
- Realización de tareas con privilegios que requieren credenciales de usuario raíz
-
Algunas tareas se pueden realizar únicamente cuando se inicia sesión como usuario raíz de una cuenta. Algunas de las Tareas que requieren credenciales de usuario raíz se pueden realizar con la cuenta de administración o el administrador delegado de IAM. Para obtener más información sobre cómo realizar acciones con privilegios en las cuentas de miembros, consulte Realización de una tarea con privilegios.
- Habilitación de la recuperación de cuentas del usuario raíz
-
Si necesita recuperar las credenciales de usuario raíz de una cuenta de miembro, la cuenta de administración o el administrador delegado de Organizations pueden realizar la tarea con privilegios Permitir la recuperación de contraseñas. La persona con acceso a la bandeja de entrada del correo del usuario raíz de la cuenta de miembro puede Restablecer la contraseña del usuario raíz para recuperar las credenciales del usuario raíz. Recomendamos eliminar las credenciales del usuario raíz una vez que haya completado la tarea que requiere el acceso al usuario raíz.
Recursos adicionales
Para obtener más información sobre el usuario raíz de AWS, consulte los siguientes recursos:
-
Para obtener ayuda con los problemas de los usuarios raíz, consulte Solucionar problemas con el usuario raíz.
-
Para administrar de forma centralizada las direcciones de correo electrónico de usuario raíz en Organizations, consulte Actualización de la dirección de correo electrónico del usuario raíz de una cuenta de miembro en la Guía del usuario de AWS Organizations.
Tareas que requieren credenciales de usuario raíz
Le recomendamos configurar un usuario administrativo en AWS IAM Identity Center para realizar las tareas diarias y acceder a los recursos de AWS. Sin embargo, las tareas que se enumeran a continuación únicamente se pueden realizar cuando se inicia sesión como usuario raíz de una cuenta.
Para simplificar la administración de las credenciales de usuario raíz con privilegios en todas las cuentas de miembros de AWS Organizations, puede habilitar el acceso raíz centralizado para garantizar de forma centralizada el acceso con altos privilegios a sus Cuentas de AWS. Administre de forma centralizada el acceso raíz a las cuentas de miembros le permite eliminar las credenciales de usuario raíz e impedir su recuperación a largo plazo de forma centralizada, lo que mejora la seguridad de las cuentas de su organización. Después de habilitar esta característica, puede realizar las siguientes tareas con privilegios en las cuentas de miembros.
-
Elimine las credenciales del usuario raíz de la cuenta de miembro para impedir la recuperación de la cuenta de usuario raíz. También puede permitir la recuperación de contraseñas para recuperar las credenciales de usuario raíz de una cuenta de miembro.
-
Elimine una política de bucket mal configurada que impida a todas las entidades principales acceder a un bucket de Amazon S3.
-
Elimine una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.
Tareas de administración de cuentas
-
Cambie la configuración de la cuenta. Esto incluye el nombre de la cuenta y la dirección de correo electrónico, así como la contraseña y las claves de acceso de usuario raíz. Otras configuraciones de la cuenta, como la información de contacto, la moneda de pago preferida y Regiones de AWS, no requieren credenciales de usuario raíz.
-
Restaure los permisos de usuario de IAM. Si el único administrador de IAM revoca de manera accidental sus propios permisos, usted puede iniciar sesión como usuario raíz para editar políticas y restaurar esos permisos.
-
Para obtener más información, consulte los temas siguientes:
Etiquetas de facturación.
-
Active el acceso de IAM a la consola de Administración de facturación y costos.
-
Algunas tareas de facturación están limitadas al usuario raíz. Para obtener más información, consulte la Guía del usuario AWS Billing sobre la gestión de una Cuenta de AWS.
-
Consulte ciertas facturas de impuestos. Un usuario de IAM con el permiso aws-portal:ViewBilling puede ver y descargar facturas de IVA de AWS Europa, pero no de AWS Inc o Amazon Internet Services Private Limited (AISPL).
Tareas de AWS GovCloud (US)
-
Solicite las claves de acceso de usuario raíz de la cuenta AWS GovCloud (US) a AWS Support.
Tarea de Amazon EC2
-
Se ha registrado como vendedor en el marketplace de instancias reservadas.
Tarea de AWS KMS
-
En caso de que una clave de AWS Key Management Service se vuelva inmanejable, un administrador puede recuperarla al contactar a AWS Support; sin embargo, AWS Support responde al número de teléfono principal del usuario raíz para solicitar la autorización al confirmar la OTP del ticket.
Tarea de Amazon Mechanical Turk
Tareas de Amazon Simple Storage Service
-
Configure un bucket de Amazon S3 para habilitar MFA (autenticación multifactor).
-
Edite o elimine una política de bucket de Amazon S3 que deniega todas las entidades principales
. Puede utilizar acciones privilegiadas para desbloquear un bucket de Amazon S3 con una política de bucket mal configurada. Para obtener más información, consulte Realización de tarea con privilegios en la cuenta de miembro de AWS Organizations.
Tareas de Amazon Simple Queue Service
-
Puede utilizar acciones privilegiadas para desbloquear una cola de Amazon SQS con una política basada en recursos mal configurada. Para obtener más información, consulte Realización de tarea con privilegios en la cuenta de miembro de AWS Organizations.
Información relacionada
En los siguientes artículos se proporciona información adicional sobre cómo trabajar con el usuario raíz.