AWS 账户根用户

当您首次创建 Amazon Web Services (AWS) 账户时，最初使用的是一个对账户中所有 AWS 服务和资源具有完全访问权限的身份。此身份称作 AWS 账户根用户。您可以使用在创建账户所用的电子邮件地址和密码以根用户身份登录。

重要

强烈建议您不使用根用户执行日常任务，即使是管理任务。相反，请遵循仅使用根用户创建您的第一个 IAM 用户的最佳实践。然后请妥善保存根用户凭证，仅用它们执行少数账户和服务管理任务。要查看需要您以根用户身份登录的任务，请参阅 需要根用户的 AWS 任务。有关如何设置管理员以供日常使用的教程，请参阅 创建您的第一个 IAM 管理员用户和用户组。

您可以创建、轮换、禁用或删除 AWS 账户 账户根用户的访问密钥 (访问密钥 ID 和秘密访问密钥)。还可以更改根用户密码。拥有您的根用户账户凭证的任何人都可以无限制地访问您 AWS 账户中的所有资源，包括账单信息。

当您创建访问密钥时，您会将访问密钥 ID 和秘密访问密钥创建为一个集。在创建访问密钥的过程中，AWS 仅允许您查看和下载一次访问密钥的秘密访问密钥部分。如果您未下载或丢失了访问密钥，则可删除访问密钥，然后创建新的访问密钥。您可以使用 IAM 控制台、AWS CLI 或 AWS API 创建根用户访问密钥。

新创建的访问密钥的状态为已激活，这意味着，您可以使用访问密钥进行 CLI 和 API 调用。每个 IAM 用户限于两个访问密钥，这在您需要轮换访问密钥时很有用。您还可以为根用户分配多达两个访问密钥。若您禁用了访问密钥，您就不能将其用于 API 调用。非活动的密钥仍将计入您的限制。您随时可以创建或删除访问密钥。不过，当您删除访问密钥时，意味着永久删除且无法恢复。

您可以前往 Security Credentials 页面更改电子邮件地址和密码。您还可以选择 AWS 登录页面上的 Forgot password? 来重置您的密码。

创建或删除 AWS 账户

有关更多信息，请参阅 AWS 知识中心中的以下文章：

• 如何创建和激活 AWS 账户？

• 如何关闭 AWS 账户？

在 AWS 账户根用户上启用 MFA

我们建议您遵循为您的账户启用多重身份验证（MFA）的安全最佳实践。由于您的根用户可以在您的账户中执行敏感性操作，因此添加额外一层身份验证可帮助您更好地保护您的账户。有多个 MFA 类型可用。有关启用 MFA 的更多信息，请参阅以下内容：

• 为您的 AWS 账户根用户启用虚拟 MFA 设备（控制台）

• 为 AWS 账户根用户启用硬件 MFA 设备（控制台）

创建根用户的访问密钥

您可以使用 AWS Management Console 或 AWS 编程工具来创建根用户的访问密钥。

创建 AWS 账户 根用户的访问密钥（控制台）

1. 选择 Root user（根用户）并输入您的 AWS 账户 电子邮件地址，以账户拥有者身份登录 IAM 控制台。在下一页上，输入您的密码。

   注意

   如果显示了三个文本框，则您之前已使用 IAM 用户 凭证登录控制台。您的浏览器可能会记住此首选项，并在您每次尝试登录时打开此账户特定的登录页面。您无法使用 IAM 用户登录页面以账户拥有者身份进行登录。如果您看到 IAM 用户登录页面，请选择该页面底部附近的 Sign in using root user email（使用根用户电子邮件登录）。这将返回主登录页面。在该页面中，您可以使用 AWS 账户 电子邮件地址和密码以根用户登录。

2. 在导航栏上选择您的账户名称，然后选择我的安全凭证。

3. 如果看到有关访问您的 AWS 账户的安全凭证的警告，选择 Continue to Security Credentials。

4. 展开 Access keys (access key ID and secret access key) 部分。

5. 选择 Create New Access Key。如果此功能已禁用，则必须先删除现有访问密钥中的一个，然后才能创建新密钥。有关更多信息，请参阅 IAM 用户指南中的 IAM 实体对象限制

   一个警告说明，您只有这一次机会可以查看或下载秘密访问密钥。之后无法检索。

   • 如果您选择 Show Access Key，您可以从浏览器窗口复制访问密钥 ID 和私有密钥，将其粘贴到其他位置。

   • 如果您选择 Download Key File，则会接收一个包含访问密钥 ID 和私有密钥、名为 rootkey.csv 的文件。将该文件安全保存在某个位置。

6. 当不再需要使用访问密钥时，我们建议您删除它，或者至少通过选择 Make Inactive (转为非活跃) 将其标记为非活动，以免被误用。

创建根用户的访问密钥（AWS CLI 或 AWS API）

使用以下值之一：

• AWS CLI：aws iam create-access-key

• AWS API：CreateAccessKey

删除根用户的访问密钥

您可以使用 AWS Management Console 删除根用户的访问密钥。

1. 使用您的 AWS 账户电子邮件地址和密码以 AWS 账户 根用户身份登录 AWS Management Console。

   注意

   如果显示了三个文本框，则您之前已使用 IAM 用户凭证登录控制台。您的浏览器可能会记住此首选项，并在您每次尝试登录时打开此账户特定的登录页面。您无法使用 IAM 用户登录页面以账户拥有者身份进行登录。如果您看到 IAM 用户登录页面，请选择该页面底部附近的 Sign in using root user email（使用根用户电子邮件登录）。这将返回主登录页面。在该页面中，您可以使用 AWS 账户电子邮件地址和密码以根用户登录。

2. 在导航栏上选择您的账户名称，然后选择我的安全凭证。

3. 如果看到有关访问您的 AWS 账户的安全凭证的警告，选择 Continue to Security Credentials。

4. 展开 Access keys (access key ID and secret access key) 部分。

5. 查找要删除的访问密钥，然后在 Actions 列下，选择 Delete。

   注意

   您可以将访问密钥标记为非活动而不是删除它。这样，您将来可以继续使用它，无需更改密钥 ID 或私有密钥。当它为非活动状态时，任何在 AWS API 请求中使用它的尝试都会以访问被拒绝的状态失败。

更改根用户的密码

有关如何更改根用户密码的信息，请参阅 更改 AWS 账户根用户密码。要更改根用户，您必须使用根用户凭证登录。要查看需要您以根用户身份登录的任务，请参阅需要根用户的 AWS 任务。

保护根用户的凭证

有关为 AWS 账户 根用户确保凭证的更多信息，请参阅 保护您的根用户凭证，不要将其用于日常任务。

转移根用户拥有者

要转移根用户的所有权，请参阅如何将我的 AWS 账户转移到另一个人或企业？。