AWS 帳戶根使用者 - AWS Identity and Access Management

AWS 帳戶根使用者

當您首次建立 Amazon Web Services (AWS) 帳戶時,您會先有一個身分,可以完整存取帳戶中所有 AWS 服務與資源。這個身分稱為 AWS 帳戶的根使用者。您可以使用您用來建立帳戶的電子郵件地址和密碼,以根使用者的身分登入。

重要

強烈建議您不要以根使用者處理日常作業,即使是管理作業。反之,請遵循僅以根使用者建立您第一個 IAM 使用者的最佳實務。接著請妥善鎖定根使用者憑證,只用來執行少數的帳戶與服務管理作業。若要檢視需要您以根使用者身分登入的任務,請參閱需要根使用者的 AWS 任務。如需如何設定管理員以供日常使用的教學課程,請參閱 建立您的第一個 IAM 管理員使用者和群組

您可以建立、輪換、停用或刪除 AWS 帳戶 根使用者的存取金鑰 (存取金鑰 ID 和私密存取金鑰)。您也可以變更根使用者密碼。擁有您 AWS 帳戶之根使用者憑證的所有使用者,都能無限制地存取該帳戶中的所有資源 (包含帳單資訊)。

當您建立存取金鑰時,可以將存取金鑰 ID 與私密存取金鑰建立為一組。在建立存取金鑰期間,AWS 會讓您有機會檢視和下載存取金鑰的私密存取金鑰部分。如果您沒有下載或者遺失私密存取金鑰,可以先刪除再建立新的存取金鑰。您可以使用 IAM 主控台、AWS CLI 或 AWS API 建立根使用者存取金鑰。

新建立存取金鑰的狀態為「作用中」,這表示您可以使用存取金鑰進行 CLI 和 API 呼叫。每個 IAM 使用者只能使用兩個存取金鑰,適用於您想要輪換存取金鑰時。您也可以將最多兩個存取金鑰指派給根使用者。停用存取金鑰時,您無法使用此金鑰來進行 API 呼叫。非作用中金鑰仍會計入您的限制。您可以隨時建立或刪除存取金鑰。不過,刪除存取金鑰之後,即永久消失且無法擷取。

您可以在安全憑證 頁面上變更電子郵件地址和密碼。您也可以在 AWS 登入頁面上選擇 Forgot password? (忘記密碼?) 以重設您的密碼。

建立或刪除 AWS 帳戶

如需詳細資訊,請參閱 AWS 知識中心的下列文章:

在 AWS 帳戶根使用者啟用 MFA

我們建議您依照安全最佳實務,來為您的帳戶啟用多重要素驗證 (MFA)。由於您的根使用者可以在您的帳戶中執行敏感的操作,新增多一層的身分驗證可協助您更妥善保護您的帳戶。有多種類型的 MFA 可供使用。如需有關啟用 MFA 的詳細資訊,請參閱以下內容:

建立根使用者的存取金鑰

您可以使用 AWS Management Console 或 AWS 程式設計工具來建立根使用者的存取金鑰。

建立 AWS 帳戶 根使用者的存取金鑰 (主控台)

  1. 選擇 Root user (根使用者) 並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入 IAM 主控台。在下一頁中,輸入您的密碼。

    注意

    如果您看到三個文字方塊,則表示您先前以 IAM 使用者憑證登入主控台。您的瀏覽器可能會記住此偏好設定,並在您每次嘗試登入時開啟此帳戶特定登入頁面。您無法使用 IAM 使用者登入頁面以帳戶擁有者身分登入。如果您看到 IAM 使用者登入頁面中,請選擇頁面底部附近的 Sign in using root user email (使用根使用者電子郵件登入)。這會讓您回到主要登入頁面。您可以在那裡使用 AWS 帳戶 電子郵件地址和密碼,以根使用者身分登入。

  2. 在導覽列中選擇您的帳戶名稱,然後選擇 My Security Credentials (我的安全憑證)

  3. 如果看到有關 AWS 帳戶的安全憑證存取警告,請選擇 Continue to Security Credentials (繼續至安全憑證)

  4. 展開 Access keys (access key ID and secret access key) (存取金鑰 (存取金鑰 ID 和私密存取金鑰)) 區段。

  5. 選擇 Create New Access Key (建立新的存取金鑰)。如果停用此功能,則您必須先刪除其中一個現有的存取金鑰,才能建立新的索引鍵。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 實體物件限制

    警告表示您只有這一次機會可檢視或下載私密存取金鑰。它稍後無法擷取。

    • 如果您選擇 Show Access Key (顯示存取金鑰),則可以從您的瀏覽器視窗複製存取金鑰 ID 和秘密索引鍵,並將它貼到某處。

    • 如果您選擇 Download Key File (下載索引鍵檔案),您會收到一個名為 rootkey.csv 的檔案,其中包含存取金鑰 ID 和秘密索引鍵。將檔案儲存到安全的位置。

  6. 當您不再使用存取金鑰時,建議您刪除它,或透過選擇 Make Inactive (設為非作用中) 至少將其標示為非作用中,這樣就不會被誤用。

建立根使用者的存取金鑰 (AWS CLI 或 AWS API)

請使用下列其中一個:

刪除根使用者的存取金鑰

您可以使用 AWS Management Console 來刪除根使用者的存取金鑰。

  1. 使用您的 AWS 帳戶電子郵件地址和密碼,以 AWS 帳戶 根使用者的身分登入 AWS Management Console

    注意

    如果您看到三個文字方塊,則表示您先前以 IAM 使用者憑證登入主控台。您的瀏覽器可能會記住此偏好設定,並在您每次嘗試登入時開啟此帳戶特定登入頁面。您無法使用 IAM 使用者登入頁面以帳戶擁有者身分登入。如果您看到 IAM 使用者登入頁面中,請選擇頁面底部附近的 Sign in using root user email (使用根使用者電子郵件登入)。這會讓您回到主要登入頁面。您可以在那裡使用 AWS 帳戶電子郵件地址和密碼,以根使用者身分登入。

  2. 在導覽列中選擇您的帳戶名稱,然後選擇 My Security Credentials (我的安全憑證)

  3. 如果看到有關 AWS 帳戶的安全憑證存取警告,請選擇 Continue to Security Credentials (繼續至安全憑證)

  4. 展開 Access keys (access key ID and secret access key) (存取金鑰 (存取金鑰 ID 和私密存取金鑰)) 區段。

  5. 找出您要刪除的存取金鑰,然後在 Actions (動作) 欄下,選擇 Delete (刪除)。

    注意

    您可以標示存取金鑰為非作用中,而不是刪除它。這可讓您在未來繼續使用它,而無需變更索引鍵 ID 或私密索引鍵。當其在非作用中時,任何嘗試在請求 AWS API 中使用它會失敗且狀態為存取遭拒。

變更根使用者的密碼

如需變更根使用者密碼的資訊,請參閱 變更 AWS 帳戶根使用者密碼。若要變更根使用者,您必須使用根使用者憑證登入。若要檢視需要您以根使用者身分登入的任務,請參閱需要根使用者的 AWS 任務

保護根使用者的憑證

如需有關保護 AWS 帳戶 根使用者認證的詳細資訊,請參閱 保護您的根使用者憑證,不要將其用於日常任務

轉移根使用者擁有者

若要轉移根使用者的擁有權,請參閱如何將我的 AWS 帳戶轉移給另一個人或企業?