Amazon Web Services 账户 根用户凭证与 IAM 用户凭证
Amazon 中有两种不同类型的用户。您是账户拥有者(根用户),或者是 Amazon Identity and Access Management(IAM)用户。根用户在创建 Amazon 账户时创建,IAM 用户由根用户或账户的 IAM 管理员创建。所有 Amazon 用户都具有安全凭证。
根用户凭证
账户拥有者的凭证允许完全访问账户中的所有资源。您无法使用 IAM 策略显式拒绝根用户访问资源。您只能使用 Amazon Organizations 服务控制策略(SCP)来限制根用户的权限。因此,我们建议您创建一个具有管理员权限的 IAM 用户,以用于日常 Amazon 任务并锁定根用户的访问密钥。
有一些特定任务仅限于 Amazon Web Services 账户 根用户。例如,只有根用户可以关闭您的账户。如果您需要执行需要根用户的任务,请使用根用户的电子邮件地址和密码登录 Amazon Web Services Management Console。有关更多信息,请参阅需要根用户凭证的任务。
IAM 凭证
通过 IAM,您可以安全地控制用户对 Amazon Web Services 账户 中 Amazon 服务和资源的访问。例如,如果您需要管理员级别权限,则可以创建 IAM 用户,为该用户授予完全访问权限,然后使用这些凭证与 Amazon 交互。如果需要修改或撤销权限,您可以删除或修改与该 IAM 用户相关联的策略。
如果多个用户需要访问您的 Amazon Web Services 账户,您可以为每个用户创建唯一的凭证并定义哪些用户有权访问哪些资源。您不必共享凭证。例如,您可以创建对 Amazon Web Services 账户 中的资源具有只读访问权限的 IAM 用户,并将这些凭证分发给您的用户。
需要根用户凭证的任务
我们建议您使用具有适当权限的 IAM 用户来执行任务和访问 Amazon 资源。不过,您只能在以账户的根用户身份登录时才能执行下列任务。
任务
-
更改您的账户设置。这包括账户名称、电子邮件地址、根用户密码和根用户访问密钥。其他账户设置(例如联系人信息、付款货币偏好和区域)不需要根用户凭证。
-
恢复 IAM 用户权限。如果唯一的 IAM 管理员意外撤消了自己的权限,您可以使用根用户身份登录来编辑策略并还原这些权限。
-
查看特定税务发票。具有 aws-portal:ViewBilling 权限的 IAM 用户还可以查看和下载 Amazon 欧洲的增值税发票,但不能查看和下载 Amazon Inc 或 Amazon Internet Services Pvt. Ltd (AISPL) 的增值税发票。
-
更改 Amazon 支持计划
或取消 Amazon 支持计划 。有关更多信息,请参阅Amazon 的 IAM 支持 。 -
已在预留实例 Marketplace 中注册为卖家。
-
为 S3 桶配置 MFA 删除。
-
编辑或删除一个包含无效 VPC ID 或 VPC 终端节点 ID 的 Amazon S3 存储桶策略。
问题排查
如果您无法使用您的根用户凭证完成以下任何任务,您的账户可能是 Amazon Organizations 中的组织的成员。如果组织管理员使用服务控制策略(SCP)来限制账户的权限,则您的根用户权限可能会受到影响。有关更多信息,请参阅《Amazon Organizations 用户指南》中的服务控制策略。