選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

適用於 AWS 帳戶的根使用者最佳實務

PDF
RSS
焦點模式
適用於 AWS 帳戶的根使用者最佳實務 - AWS Identity and Access Management
保護您的根使用者憑證,以防止未經授權使用使用強式根使用者密碼來協助保護存取使用多重要素驗證 (MFA) 保護您的根使用者登入不要為根使用者建立存取金鑰盡可能為根使用者登入使用多人核准使用群組電子郵件地址作為根使用者憑證限制存取帳戶復原機制保護您的 Organizations 帳戶根使用者憑證監控存取和用量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

第一次建立 時 AWS 帳戶,您會從一組預設登入資料開始,並完整存取您帳戶中的所有 AWS 資源。此身分稱為 AWS 帳戶 根使用者。強烈建議您不要存取 AWS 帳戶 根使用者,除非您的任務需要根使用者憑證。您需要保護根使用者憑證和帳戶復原機制,以協助確保不會公開具有高權限的憑證以供未經授權使用。

對於透過 Organizations AWS 帳戶 管理的多個 ,我們建議您從成員帳戶移除根使用者憑證,以協助防止未經授權的使用。您可以移除根使用者密碼、存取金鑰、簽署憑證,以及停用和刪除多重要素驗證 (MFA)。成員帳戶無法登入其根使用者,也無法為其根使用者執行密碼復原。如需詳細資訊,請參閱集中管理成員帳戶的根存取權

並非存取根使用者,而是建立日常任務的系統管理使用者。

然後,您可以使用管理使用者為需要存取 AWS 帳戶中資源的使用者建立其他身分。我們強烈建議您在存取 時,要求使用者使用臨時憑證進行身分驗證 AWS。

  • 對於單一獨立 AWS 帳戶,請使用 在具有特定許可的帳戶中IAM 角色建立身分。角色旨在可由任何需要它的使用者擔任。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。與 IAM 角色不同,IAM 使用者 擁有長期憑證,例如密碼和存取金鑰。最佳實務建議盡可能依賴暫時憑證,而不是建立擁有長期憑證 (例如密碼和存取金鑰) 的 IAM 使用者。

  • 對於透過 Organizations AWS 帳戶 管理的多個 ,請使用 IAM Identity Center 人力資源使用者。使用 IAM Identity Center,您可以集中管理這些帳戶中您 AWS 帳戶 和 許可的使用者。可使用 IAM Identity Center 或外部身分供應商來管理使用者身分。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的什麼是 AWS IAM Identity Center

保護您的根使用者憑證,以防止未經授權使用

保護您的根使用者憑證,僅將其用於需要它們的任務。為了防止未經授權的使用,請勿與任何人共用您的根使用者密碼、MFA、存取金鑰、CloudFront 金鑰配對或簽署憑證,除非此人具有存取根使用者憑證的嚴格業務需求。

請勿將根使用者密碼與依賴 AWS 服務 於使用相同密碼存取之帳戶中的工具一起存放。如果您遺失或忘記根使用者密碼,將無法存取這些工具。我們建議您優先考慮彈性,並考慮要求兩個或更多人授權存取儲存位置。應記錄並監控任何對密碼的存取或其儲存位置。

使用強式根使用者密碼來協助保護存取

我們建議您使用高強度且唯一的密碼。具有強密碼產生演算法的密碼管理器之類的工具可協助您實現這些目標。 AWS 要求您的密碼必須符合下列條件:

  • 它必須至少有 8 個字元,最多 128 個字元。

  • 它至少混用 3 種下列類型字元:大寫、小寫、數字和 ! @ # $ % ^ & * () <> [] {} | _+-= 符號。

  • 它不能與 AWS 帳戶 您的姓名或電子郵件地址相同。

如需詳細資訊,請參閱變更 的密碼 AWS 帳戶根使用者

使用多重要素驗證 (MFA) 保護您的根使用者登入

因為根使用者可以執行特權動作,因此除了將電子郵件地址和密碼作為登入憑證之外,還要將根使用者的 MFA 新增為第二個身分驗證因素。您最多可以向 AWS 帳戶 根使用者註冊八部 MFA 裝置,其中包含目前支援的 MFA 類型。

我們強烈建議為您的根使用者登入資料啟用多個 MFA 裝置,以在您的安全策略中提供額外的彈性和彈性。對於獨立帳戶和管理帳戶,MFA 強制執行要求根使用者在第一次登入嘗試的 35 天內註冊 MFA,如果尚未啟用的話。對於成員帳戶,MFA 設定目前是選用的,但預計在 2025 年春季強制執行,需要在 35 天內註冊 MFA 才能繼續。 AWS Management Console

不要為根使用者建立存取金鑰

存取金鑰可讓您在命令列介面 (AWS CLI) 中執行 AWS 命令,或從其中一個 AWS SDKs使用 API 操作。強烈建議您不要為根使用者建立存取金鑰對,因為根使用者可以完整存取帳戶中的所有 AWS 服務 和 資源,包括帳單資訊。

由於只有少數任務需要根使用者,而且您通常不常執行這些任務,因此我們建議您登入 AWS Management Console 以執行根使用者任務。在建立存取金鑰之前,請檢閱 長期存取金鑰的替代方案

盡可能為根使用者登入使用多人核准

請考慮使用多人核准,以確保沒有任何人可以同時存取根使用者的 MFA 和密碼。有些公司會設定可存取密碼的管理員群組,以及另一個可存取 MFA 的管理員群組,藉此增加額外的安全性層級。每個群組必須各有一位成員共同作為根使用者登入。

使用群組電子郵件地址作為根使用者憑證

使用由企業管理的電子郵件地址,直接將收到的訊息轉寄給使用者群組。如果 AWS 必須聯絡 帳戶的擁有者,此方法可降低延遲回應的風險,即使個人正在休假、生病或已離開業務。用於根使用者的電子郵件地址不得用於其他目的。

限制存取帳戶復原機制

務必制定程序來管理根使用者憑證復原機制,以防在緊急情況下需要存取該機制,例如接管您的管理帳戶。

  • 確保您有權存取根使用者電子郵件收件匣,以便可以重設遺失或忘記的根使用者密碼

  • 如果您的 AWS 帳戶 根使用者的 MFA 遺失、損壞或無法運作,您可以使用註冊到相同根使用者憑證的另一個 MFA 登入。如果您無法存取所有 MFA,則需要用於註冊賬戶的最新且可存取的電話號碼和電子郵件,以便復原您的 MFA。如需詳細資訊,請參閱復原根使用者 MFA 裝置

  • 如果您選擇不儲存根使用者密碼和 MFA,則可以使用帳戶中註冊的電話號碼作為復原根使用者憑證的替代方法。確保您可以存取聯絡人電話號碼,保持更新此電話號碼,並且限制可以存取以管理電話號碼的使用者。

應沒有任何人有權同時存取電子郵件收件匣和電話號碼,因為兩者都是復原根使用者密碼的驗證渠道。務必安排兩組人員管理這些渠道。一個群組可以存取您的主要電子郵件地址,另一個群組可以存取主要電話號碼,從而復原以根使用者身分存取您帳戶的許可。

保護您的 Organizations 帳戶根使用者憑證

當您使用 Organizations 移至多帳戶策略時,您的每個 AWS 帳戶 都有自己的根使用者憑證,您需要保護這些憑證。您用來建立組織的帳戶是管理帳戶,組織中的其餘帳戶則為成員帳戶

管理帳戶的安全根使用者憑證

AWS 要求您為組織的管理帳戶的根使用者註冊 MFA。MFA 註冊必須在第一次登入嘗試期間或 35 天寬限期內完成。如果 MFA 未在此時間內啟用,則您必須先註冊,才能存取 AWS Management Console。如需詳細資訊,請參閱的多重要素驗證 AWS 帳戶根使用者

保護成員帳戶的根使用者憑證

如果您使用 Organizations 來管理多個帳戶,可以採取兩種策略來保護 Organizations 中的根使用者存取權。

  • 集中化根存取權並從成員帳戶中移除根使用者憑證。移除根使用者登入資料、存取金鑰、簽署憑證,以及停用和刪除多重要素驗證 (MFA)。使用此策略時,成員帳戶無法登入其根使用者,也無法為其根使用者執行密碼復原。如需詳細資訊,請參閱集中管理成員帳戶的根存取權

  • 使用 MFA 保護 Organizations 帳戶的根使用者登入資料,以增強帳戶安全性。如需詳細資訊,請參閱的多重要素驗證 AWS 帳戶根使用者

如需詳細資訊,請參閱 Organizations 使用者指南中的存取組織中的成員帳戶

使用服務控制政策 (SCP) 設定 Organizations 中的預防安全控制措施

如果組織中的成員帳戶已啟用根使用者憑證,您可以套用 SCP 來限制對成員帳戶根使用者的存取。拒絕成員帳戶中的所有根使用者動作 (除了某些僅限根的動作),這樣有助於防止未經授權的存取。有關詳細資訊,請參閱使用 SCP 來限制成員帳戶中根使用者可執行的動作

監控存取和用量

我們建議您使用目前的追蹤機制來監控、警示和報告根使用者憑證的登入和使用情況,包括宣告根使用者登入和用量的警示。下列服務可協助確保追蹤根使用者憑證用量,並且執行安全性檢查,以防止未經授權的使用。

注意

CloudTrail 會記錄根使用者和特權根使用者工作階段的不同登入事件。這些特權工作階段允許在您組織的成員帳戶中執行需要根使用者憑證的任務。您可以使用登入事件來識別管理帳戶或使用 sts:AssumeRoot 的委派管理員所採取的動作。如需詳細資訊,請參閱在 CloudTrail 中追蹤特權任務

  • 如果您希望收到有關帳戶中根使用者登入活動的通知,可以利用 Amazon CloudWatch 建立事件規則,以偵測何時使用根使用者憑證,並向安全管理員觸發通知。如需詳細資訊,請參閱監控和通知 AWS 帳戶 根使用者活動

  • 如果您想要設定通知以提醒您核准的根使用者動作,可以利用 Amazon EventBridge 和 Amazon SNS 撰寫 EventBridge 規則,以追蹤根使用者對特定動作的使用情況,並使用 Amazon SNS 主題通知您。如需範例,請參閱建立 Amazon S3 物件時傳送通知

  • 如果您已使用 GuardDuty 做為威脅偵測服務,可以擴展其功能,以便在帳戶中使用根使用者憑證時通知您。

此警示應包含但不得限於根使用者的電子郵件地址。制定如何回應警示的適當程序,從而收到根使用者存取警示的人員可了解如何驗證預期的根使用者存取權,以及如果他們認為安全事件正在進行中該如何上報。如需如何設定提醒的範例,請參閱監控和通知 AWS 帳戶 根使用者活動

評估根使用者 MFA 合規

下列服務可協助評估根使用者憑證的 MFA 合規性。

如果遵循移除根使用者憑證的最佳實務,則 MFA 相關規則會傳回不合規。

建議從組織的成員帳戶中移除根使用者憑證,以協助防止未經授權的使用。在您移除根使用者登入資料,包括 MFA 之後,這些成員帳戶會評估為不適用

  • AWS Config 提供規則來監控對根使用者最佳實務的合規性。您可以使用 AWS Config 受管規則來協助您強制執行根使用者憑證的 MFA。 AWS Config 也可以識別根使用者的存取金鑰

  • Security Hub 為您提供 中安全狀態的全面檢視 AWS ,並協助您根據安全產業標準和最佳實務評估您的 AWS 環境,例如在根使用者擁有 MFA,而沒有根使用者存取金鑰。如需有關可用規則的詳細資訊,請參閱 Security Hub 使用者指南中的 AWS Identity and Access Management 控制項

  • Trusted Advisor 提供安全檢查,讓您知道根使用者帳戶上是否未啟用 MFA。如需詳細資訊,請參閱 AWS 支援使用者指南中的根帳戶上的 MFA

如果您需要回報帳戶的安全性問題,請參閱回報可疑電子郵件弱點回報。或者,您可以聯絡 AWS 以取得協助和其他指導。

在本頁面

Related resources

AWS Identity and Access Management API 參考
AWS CLI 的 命令 AWS Identity and Access Management
SDK 與工具 

Related resources

AWS Identity and Access Management API 參考
AWS CLI 的 命令 AWS Identity and Access Management
SDK 與工具 
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。