Usuario raíz de la cuenta de AWS - AWS Identity and Access Management

Usuario raíz de la cuenta de AWS

Cuando se crea por primera vez una cuenta de Amazon Web Services (AWS), la dirección de correo electrónico y la contraseña que se proporcionan son las credenciales de su usuario raíz, que tiene acceso a todos los servicios y recursos de AWS en la cuenta.

Cuando se crea por primera vez una cuenta de Amazon Web Services (AWS), se comienza con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la cuenta de AWS y se accede a ella iniciando sesión con la dirección de email y la contraseña que utilizó para crear la cuenta.

importante

Se recomienda encarecidamente no utilizar el usuario raíz para las tareas cotidianas y seguir las prácticas recomendadas para el usuario raíz para la Cuenta de AWS. Proteja las credenciales del usuario raíz y utilícelas sólo para las tareas que el usuario raíz pueda realizar. Para obtener la lista completa de tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz.

Administre de forma centralizada el acceso raíz a las cuentas de miembros

Para ayudarlo a administrar las credenciales a escala, puede proteger de forma centralizada el acceso a las credenciales de usuario raíz de las cuentas de miembros en AWS Organizations. Cuando habilita AWS Organizations, se combinan todas las cuentas de AWS de una organización para que puedan ser administradas de manera centralizada. La centralización del acceso raíz le permite eliminar credenciales de usuario raíz y realizar las siguientes tareas con privilegios en las cuentas de miembros.

Eliminación de las credenciales de usuario raíz de las cuentas de miembros

Tras centralizar el acceso raíz para las cuentas de miembros, puede optar por eliminar las credenciales de usuario raíz de las cuentas de miembros de Organizations. Puede eliminar la contraseña del usuario raíz, las claves de acceso y los certificados de firma, así como desactivar y eliminar la autenticación multifactor (MFA). Las cuentas nuevas que cree en Organizations no tienen credenciales de usuario raíz de forma predeterminada. Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz a menos que la recuperación de cuentas esté habilitada.

Realización de tareas con privilegios que requieren credenciales de usuario raíz

Algunas tareas se pueden realizar únicamente cuando se inicia sesión como usuario raíz de una cuenta. Algunas de las Tareas que requieren credenciales de usuario raíz se pueden realizar con la cuenta de administración o el administrador delegado de IAM. Para obtener más información sobre cómo realizar acciones con privilegios en las cuentas de miembros, consulte Realización de una tarea con privilegios.

Habilitación de la recuperación de cuentas del usuario raíz

Si necesita recuperar las credenciales de usuario raíz de una cuenta de miembro, la cuenta de administración o el administrador delegado de Organizations pueden realizar la tarea con privilegios Permitir la recuperación de contraseñas. La persona con acceso a la bandeja de entrada del correo del usuario raíz de la cuenta de miembro puede Restablecer la contraseña del usuario raíz para recuperar las credenciales del usuario raíz. Recomendamos eliminar las credenciales del usuario raíz una vez que haya completado la tarea que requiere el acceso al usuario raíz.

Recursos adicionales

Para obtener más información sobre el usuario raíz de AWS, consulte los siguientes recursos:

Tareas que requieren credenciales de usuario raíz

Le recomendamos configurar un usuario administrativo en AWS IAM Identity Center para realizar las tareas diarias y acceder a los recursos de AWS. Sin embargo, las tareas que se enumeran a continuación únicamente se pueden realizar cuando se inicia sesión como usuario raíz de una cuenta.

Para simplificar la administración de las credenciales de usuario raíz con privilegios en todas las cuentas de miembros de AWS Organizations, puede habilitar el acceso raíz centralizado para garantizar de forma centralizada el acceso con altos privilegios a sus Cuentas de AWS. Administre de forma centralizada el acceso raíz a las cuentas de miembros le permite eliminar las credenciales de usuario raíz e impedir su recuperación a largo plazo de forma centralizada, lo que mejora la seguridad de las cuentas de su organización. Después de habilitar esta característica, puede realizar las siguientes tareas con privilegios en las cuentas de miembros.

  • Elimine las credenciales del usuario raíz de la cuenta de miembro para impedir la recuperación de la cuenta de usuario raíz. También puede permitir la recuperación de contraseñas para recuperar las credenciales de usuario raíz de una cuenta de miembro.

  • Elimine una política de bucket mal configurada que impida a todas las entidades principales acceder a un bucket de Amazon S3.

  • Elimine una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.

Tareas de administración de cuentas
Etiquetas de facturación.
Tareas de AWS GovCloud (US)
Tarea de Amazon EC2
Tarea de AWS KMS
  • En caso de que una clave de AWS Key Management Service se vuelva inmanejable, un administrador puede recuperarla al contactar a AWS Support; sin embargo, AWS Support responde al número de teléfono principal del usuario raíz para solicitar la autorización al confirmar la OTP del ticket.

Tareas de Amazon Simple Storage Service
Tareas de Amazon Simple Queue Service

En los siguientes artículos se proporciona información adicional sobre cómo trabajar con el usuario raíz.