本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 配置你的 AWS 账户
本节包含的主题描述了如何管理您的 AWS 账户。
**注意**
如果您 AWS 账户 是在印度使用亚马逊 Web Services 印度私人有限公司(AWS 印度)创建的,则还有其他注意事项。有关更多信息,请参阅 [管理印度地区的账户](managing-accounts-india.md)。
**Topics**
+ [
# 创建 AWS 账户 别名
](manage-acct-alias.md)
+ [
# AWS 区域 在您的账户中启用或禁用
](manage-acct-regions.md)
+ [
# 更新您的账单 AWS 账户
](manage-acct-billing.md)
+ [
# 更新根用户电子邮件地址
](manage-acct-update-root-user-email.md)
+ [
# 更新根用户密码
](manage-acct-update-root-user-password.md)
+ [
# 更新你的 AWS 账户 名字
](manage-acct-update-acct-name.md)
+ [
# 更新您的备用联系人 AWS 账户
](manage-acct-update-contact-alternate.md)
+ [
# 更新您的主要联系人 AWS 账户
](manage-acct-update-contact-primary.md)
+ [
# 查看 AWS 账户 标识符
](manage-acct-identifiers.md)
# 创建 AWS 账户 别名
如果您希望 IAM 用户的 URL 包含您的公司名称(或其他 easy-to-remember标识符)而不是 AWS 账户 ID,则可以创建*账户别名*。
要了解如何创建或更新账户别名,请参阅 *IAM 用户指南*中的[使用别名作为您的 AWS 账户 ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html)。
# AWS 区域 在您的账户中启用或禁用
*AWS 区域*是世界上 AWS 有多个可用区的物理位置。可用区由一个或多个离散 AWS 的数据中心组成,每个数据中心都具有冗余电源、网络和连接,位于不同的设施中。这意味着每个区域在物理上 AWS 区域 都是孤立的,并且独立于其他区域。区域提供容错能力、稳定性和弹性,还可以减少延迟。在离最终用户 AWS 区域 更近的地方运行工作负载可以提高性能并降低延迟。有关可用区域和即将推出区域的地图,请参阅 [区域和可用区](https://aws.amazon.com/about-aws/global-infrastructure/regions_az)。要详细了解您的工作负载 AWS 区域 的弹性架构,请访问[AWS 多区域](https://docs.aws.amazon.com/prescriptive-guidance/latest/aws-multi-region-fundamentals/introduction.html)基础知识。
AWS 区域 账户可用性大致分为两类:
+ **默认区域** - 2019 年 3 月 20 日之前推出的区域默认处于启用状态。账户激活后,您可立即在这些默认区域中创建和管理资源。无法启用或禁用默认区域。
+ **选择加入区域** – 2019 年 3 月 20 日后推出的区域默认处于禁用状态,称为选择加入区域。禁用的选择加入区域不会显示在控制台导航栏中,在启用前无法使用这些区域创建工作负载。要使用这些可选区域,您必须先在您的 AWS 账户区域中启用它们。启用选择加入区域后,您可以在导航栏中选择该区域,并在该区域内创建和管理资源。要为您的独立账户启用选择加入区域,请参阅 [为独立账户启用或禁用区域](#manage-acct-regions-enable-standalone),要为您的成员账户启用选择加入区域,请参阅 [在组织中启用或禁用区域](#manage-acct-regions-enable-organization)。
当您注册时 AWS 账户,会根据您的联系地址所在的国家/地区为您 AWS 推荐一个可选区域。拥有 AWS 选择加入区域的国家/地区的买家会在 “联系信息” 页面上看到一条建议,要求在该国家/地区启用选择加入区域。在同时设有选择加入区域和默认区域的国家/地区(如印度、澳大利亚或加拿大),若选择加入区域距离客户更近,则会显示选择加入区域的推荐提示。账户激活后,您可以在账户中启用其他 AWS 选择加入区域,也可以选择禁用您在注册期间启用的选择加入区域。
创建时 AWS 账户,系统会自动将您的 IAM 数据和证书配置为适用于所有默认区域,从而允许具有适当权限的根用户和 IAM 身份使用其现有证书访问这些区域中的 AWS 服务。 AWS 默认情况下,选择加入区域处于禁用状态,而且 IAM 数据和证书最初在这些区域不可用,这会阻止访问该区域中的 AWS 服务。当您选择启用选择加入区域时, AWS 会将您的 IAM 数据和凭证传播到该区域。传播完成并启用可选区域后,根用户和 IAM 身份即可使用他们在默认区域中使用的相同 IAM 凭证访问新启用的选择加入区域中的 AWS 服务。
当您禁用某个选择加入区域时,您的 IAM 凭证将失效,且您将失去对该区域内资源的 IAM 访问权限。禁用选择加入区域不会删除该区域内的资源,且被禁用的选择加入区域内的资源(如有)的费用仍按标准费率持续计费。
**重要**
禁用某个区域会禁用 IAM 对该区域资源的访问权限。这不会删除相关资源,这些资源会继续产生费用。在禁用区域之前,请移除所有剩余资源。
AWS 将区域分组为[分区](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/partitions.html)。每个区域仅属于一个分区,而每个分区包含一个或多个区域。分区具有独立的 AWS Identity and Access Management (IAM) 实例,在不同分区中的区域之间提供了硬边界。 AWS 商业区域位于`aws`分区中,中国的区域位于分区`aws-cn`中 AWS GovCloud (US) ,区域位于分区`aws-us-gov`中。根据您创建的分区 AWS 账户,可以在该分区 AWS 区域 中使用。
+ `aws`分区中的账户可让您访问商业分区中的多个区域,这样您就可以在满足您要求的位置启动 AWS 资源。例如,您可能希望在欧洲区域启动 Amazon EC2 实例以更多符合欧洲客户的要求或满足法律要求。
+ `aws-us-gov`分区中的账户为您提供访问 AWS GovCloud (美国西部)地区和 AWS GovCloud (美国东部)地区的权限。有关更多信息,请参阅 [AWS GovCloud (US)](https://aws.amazon.com/govcloud-us/)。
+ `aws-cn` 分区中的账户只能让您访问北京和宁夏区域。有关更多信息,请参阅 [中国的 Amazon Web Services](https://www.amazonaws.cn/about-aws/china/)。
**Topics**
+ [
## 区域可用性参考
](#manage-acct-regions-regional-availability)
+ [
## 启用和禁用区域之前的注意事项
](#manage-acct-regions-considerations)
+ [
## 处理时间和请求限制
](#manage-acct-regions-processing-times)
+ [
## 为独立账户启用或禁用区域
](#manage-acct-regions-enable-standalone)
+ [
## 在组织中启用或禁用区域
](#manage-acct-regions-enable-organization)
## 区域可用性参考
下表 AWS 区域 按可用性类型列出。默认区域会自动启用且无法禁用,而选择性加入域必须手动启用后才能使用:
------
#### [ Opt-in Regions ]
以下区域为选择加入区域,必须先启用才能使用:
| Name | 代码 | Status |
| --- | --- | --- |
| 非洲(开普敦) | af-south-1 | GA |
| 亚太地区(香港) | ap-east-1 | GA |
| 亚太地区(台北) | ap-east-2 | GA |
| 亚太地区(海得拉巴) | ap-south-2 | GA |
| 亚太地区(雅加达) | ap-southeast-3 | GA |
| 亚太地区(墨尔本) | ap-southeast-4 | GA |
| 亚太地区(马来西亚) | ap-southeast-5 | GA |
| 亚太地区(新西兰) | ap-southeast-6 | GA |
| 亚太地区(泰国) | ap-southeast-7 | GA |
| 加拿大西部(卡尔加里) | ca-west-1 | GA |
| 欧洲(苏黎世) | eu-central-2 | GA |
| 欧洲地区(米兰) | eu-south-1 | GA |
| 欧洲(西班牙) | eu-south-2 | GA |
| 以色列(特拉维夫) | il-central-1 | GA |
| 中东(阿联酋): | me-central-1 | GA |
| 中东(巴林) | me-south-1 | GA |
| 墨西哥(中部) | mx-central-1 | GA |
------
#### [ Default Regions ]
以下区域默认启用且不可禁用:
| Name | 代码 |
| --- | --- |
| 亚太地区(东京) | ap-northeast-1 |
| 亚太地区(首尔) | ap-northeast-2 |
| 亚太地区(大阪) | ap-northeast-3 |
| 亚太地区(孟买) | ap-south-1 |
| 亚太地区(新加坡) | ap-southeast-1 |
| 亚太地区(悉尼) | ap-southeast-2 |
| 加拿大(中部) | ca-central-1 |
| 欧洲地区(法兰克福) | eu-central-1 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 |
| 欧洲地区(爱尔兰) | eu-west-1 |
| 欧洲地区(伦敦) | eu-west-2 |
| 欧洲(巴黎) | eu-west-3 |
| 南美洲(圣保罗) | sa-east-1 |
| 美国东部(弗吉尼亚州北部) | us-east-1 |
| 美国东部(俄亥俄州) | us-east-2 |
| 美国西部(北加利福尼亚) | us-west-1 |
| 美国西部(俄勒冈州) | us-west-2 |
------
有关区域名称及其相应代码的列表,请参阅*《AWS 一般参考指南》*中的[区域端点](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints)。有关每个区域(不含终端节点)支持的 AWS 服务列表,请参阅[AWS 区域服务列表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
**重要**
AWS 建议您使用区域 AWS Security Token Service (AWS STS) 终端节点而不是全球终端节点来减少延迟。来自区域 AWS STS 终端节点的会话令牌在所有 AWS 区域都有效。如果您使用区域 AWS STS 终端节点,则无需进行任何更改。但是,来自*全局* AWS STS 终端节点 (https://sts.amazonaws.com) 的会话令牌仅在 AWS 区域 您启用或默认启用的情况下才有效。如果您打算为账户启用新区域,则可以使用来自区域 AWS STS 终端节点的会话令牌,也可以激活全球 AWS STS 终端节点来发放全部有效的会话令牌 AWS 区域。适用于所有区域的会话令牌较大。如果存储会话令牌,这些较大的令牌可能会影响您的系统。有关 AWS STS 终端节点如何与 AWS 区域配合使用的更多信息,请参阅[AWS STS 在 AWS 区域中管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)。
## 启用和禁用区域之前的注意事项
在启用或禁用区域之前,务必考虑以下几点:
+ 无论区域@@ **选择状态如何,您都可以使用跨区域推理地理位置中的所有目标区域** — 某些 AWS 生成式 AI 服务,包括 Amazon Bedrock(参见[通过跨区域推理提高吞吐量)和 Amazon Q Developer(参见 Amazon Q Developer [中的跨区域处理](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/cross-region-processing.html))使用跨区域推](https://docs.aws.amazon.com/bedrock/latest/userguide/cross-region-inference.html)理。如果您使用这些服务,它们会自动在您选定的地理区域内选择最优 AWS 区域——包括您尚未为资源和 IAM 数据启用的区域。这会最大限度地提高计算资源和模型的可用性,进而改善客户体验。
+ **您可以使用 IAM 权限来控制对区域的访问**权限 — AWS Identity and Access Management (IAM) 包括四种权限,允许您控制哪些用户可以启用、禁用、获取和列出区域。有关更多信息,请参阅*《IAM 用户指南》*中的 [AWS:允许启用和禁用 AWS 区域](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html)。您也可以使用[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion)条件键来控制对 AWS 服务 中的访问权限 AWS 区域。
+ **启用和禁用区域是免费的** - 启用或禁用区域均不收取任何费用。您只需为在新区域中创建的资源付费。
+ **Amazon EventBridge 集成** — 您可以在中订阅区域选项状态更新通知。 EventBridge EventBridge系统将为每次状态更改创建通知,允许客户自动执行工作流程。
+ **Expressive Region-Opt 状态** — 由于选择加入区域的 enabling/disabling 异步性质,区域选择请求有四种潜在状态:
+ `ENABLING`
+ `DISABLING`
+ `ENABLED`
+ `DISABLED`
当选择加入或选择退出处于 `ENABLING` 或 `DISABLING` 状态时,无法将其取消。否则将抛出 `ConflictException`。已完成(启用/禁用)区域选择请求取决于关键底层服务的配置。 AWS 尽管状态为,但有些 AWS 服务可能无法立即使用`ENABLED`。
## 处理时间和请求限制
启用或禁用区域时,请注意以下时间限制和请求限制:
+ **在某些情况下启用一个区域需要几分钟到几小时的时间** - 在启用一个区域时, AWS 将执行操作以准备您在该区域内的账户,例如将您的 IAM 资源分发给该区域。对大多数账户而言,此过程需要几分钟时间,但有时可能需要几小时。在此过程完成之前,您无法使用区域。
+ **禁用区域并非总是立即可见** - 禁用区域后,服务和控制台可能会暂时可见。禁用区域可能需要几分钟到几小时才能生效。
+ **一个账户在任何给定时间可以有 6 个处理中的区域选择请求** - 一个请求等于为一个账户启用或禁用一个特定区域。
+ O@@ **rganizations 可以在给定时间在整个 AWS 组织中打开 50 个区域选择请求** — 管理账户在任何时候都可能有 50 个待处理的请求等待其组织完成。一个请求等于为一个账户启用或禁用一个特定区域。
## 为独立账户启用或禁用区域
要更新您 AWS 账户 有权访问的区域,请执行以下过程中的步骤。以下 AWS 管理控制台 过程始终仅在独立环境中起作用。您只能使用 AWS 管理控制台 查看或更新用于调用该操作的账户中的可用区域。
------
#### [ AWS 管理控制台 ]
**为独立版启用或禁用区域 AWS 账户**
**最小权限**
要执行下列程序中的步骤,IAM 用户或角色必须具有以下权限:
`account:ListRegions`(需要查看列表 AWS 区域 以及它们当前处于启用还是禁用状态)。
`account:EnableRegion`
`account:DisableRegion`
1. 以 AWS 账户根用户 或的[AWS 管理控制台](https://console.aws.amazon.com/)身份登录,以具有最低权限的 IAM 用户或角色的身份登录。
1. 在窗口的右上角,选择您的账户名称,然后选择**账户**。
1. 在[**账户**页面](https://console.aws.amazon.com/billing/home#/account),向下滚动至 **AWS 区域** 部分。
1. 选择要启用或禁用的区域,然后选择所需操作:**启用**或**禁用**。您将看到确认提示。
1. 如果选择了**启用**选项,请查看显示的文本,然后选择**启用区域**。
如果选择了**禁用**选项,请查看显示的文本,键入 **disable** 进行确认,然后选择**禁用区域**。
启用选择加入区域后,您可以从区域导航栏中选择该区域。有关选择区域的步骤,请参阅[从 AWS 管理控制台的导航栏中选择区域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region-procedure.html);有关账户中特定区域的控制台设置,请参阅[在 AWS 管理控制台中设置默认区域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/change-default-region.html)。
------
#### [ AWS CLI & SDKs ]
您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作启用、禁用、读取和列出区域选择状态:
+ `EnableRegion`
+ `DisableRegion`
+ `GetRegionOptStatus`
+ `ListRegions`
**最小权限**
要执行下列步骤,您必须拥有映射到此操作的权限:
`account:EnableRegion`
`account:DisableRegion`
`account:GetRegionOptStatus`
`account:ListRegions`
如果使用这些单独权限,就可以授予某些用户仅读取区域选择信息的权限,而授予其他用户同时读取和写入的权限。
以下示例为组织的指定成员账户启用了区域。所用凭证必须来自组织管理账户或账户管理委托管理员账户。
请注意,您也可以使用相同的命令禁用某个区域,然后将 `enable-region` 替换为 `disable-region`。
```
aws account enable-region --region-name af-south-1
```
如果成功,此命令不会产生任何输出。
该操作是异步的。以下命令可以使您查看请求的最新状态。
```
aws account get-region-opt-status --region-name af-south-1
{
"RegionName": "af-south-1",
"RegionOptStatus": "ENABLING"
}
```
------
## 在组织中启用或禁用区域
要更新您的成员账户的启用区域 AWS Organizations,请执行以下过程中的步骤。
**注意**
AWS Organizations 托管策略`AWSOrganizationsReadOnlyAccess`或`AWSOrganizationsFullAccess`已更新,提供访问 AWS 账户管理的权限, APIs 以便您可以从 AWS Organizations 控制台访问账户数据。要查看更新的托管策略,请参阅 Organizati [ons AWS 托管策略的更新](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_available-policies.html#ref-iam-managed-policies-updates)。
**注意**
在通过管理账户或组织中的委托管理员账户为成员账户执行这些操作以之前,您必须:
启用组织中的所有功能,管理成员账户的设置。这样管理员就可以控制成员账户。这是在创建组织时默认设置的。如果您的组织设置为仅整合账单,而您要启用所有功能,请参阅[在组织中启用所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
为 AWS 账户管理服务启用可信访问权限。要进行设置,请参阅[为 AWS 账户管理启用可信访问权限](using-orgs-trusted-access.md)。
------
#### [ AWS 管理控制台 ]
**在组织中启用或禁用区域**
1. 使用贵组织的管理账户凭据登录 AWS Organizations 控制台。
1. 在 **AWS 账户** 页面上,选择要更新的账户。
1. 选择**账户设置**选项卡。
1. 在**区域**下,选择要启用或禁用的区域。
1. 选择**操作**,然后选择**启用**或**禁用**选项。
1. 如果选择了**启用**选项,请查看显示的文本,然后选择**启用区域**。
1. 如果选择了**禁用**选项,请查看显示的文本,键入 **disable** 进行确认,然后选择**禁用区域**”。
------
#### [ AWS CLI & SDKs ]
您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作启用、禁用、读取和列出组织成员账户的区域选择状态:
+ `EnableRegion`
+ `DisableRegion`
+ `GetRegionOptStatus`
+ `ListRegions`
**最小权限**
要执行下列步骤,您必须拥有映射到此操作的权限:
`account:EnableRegion`
`account:DisableRegion`
`account:GetRegionOptStatus`
`account:ListRegions`
如果使用这些单独权限,就可以授予某些用户仅读取区域选择信息的权限,而授予其他用户同时读取和写入的权限。
以下示例为组织的指定成员账户启用了区域。所用凭证必须来自组织管理账户或账户管理委托管理员账户。
请注意,您也可以使用相同的命令禁用某个区域,然后将 `enable-region` 替换为 `disable-region`。
```
aws account enable-region --account-id 123456789012 --region-name af-south-1
```
如果成功,此命令不会产生任何输出。
**注意**
一个组织在给定时间最多只能有 20 个区域请求。否则,您会收到 `TooManyRequestsException`。
该操作是异步的。以下命令可以使您查看请求的最新状态。
```
aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1
{
"RegionName": "af-south-1",
"RegionOptStatus": "ENABLING"
}
```
------
# 更新您的账单 AWS 账户
您可以使用 AWS Billing 和成本管理控制台更新所有 AWS 账户 账单偏好。要了解如何更新账户的账单相关设置,请参阅*[《AWS 账单与成本管理 用户指南》](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/)*:
# 更新根用户电子邮件地址
出于各种业务原因,您可能需要更新您 AWS 账户的根用户电子邮件地址。例如,出于安全性和管理弹性考虑。本主题将引导您完成更新独立账户和成员账户的根用户电子邮件地址的过程。
**注意**
对的更改 AWS 账户 最多可能需要四个小时才能传播到任何地方。
您可以根据账户是独立账户还是组织账户的不同,分别更新根用户电子邮件:
+ **独立 AWS 账户** — 对于与组织 AWS 账户 无关的用户,您可以使用 AWS 管理控制台更新根用户电子邮件 。要了解如何执行此操作,请参阅[为独立 AWS 账户更新根用户电子邮件](#root-user-email-standalone)。
+ AWS 账户 组织@@ **内部 — 对于属于组织的**成员账户,管理账户或委托管理员账户中的用户可以从 AWS Organizations 控制台集中更新成员账户的根用户电子邮件 ,也可以通过 AWS CLI & SDKs 以编程方式更新该成员账户的 Amazon Web Services 电子邮件。 AWS 要了解如何执行此操作,请参阅[更新组织中任何成员的根用户电子邮件](#root-user-email-orgs)。
**Topics**
+ [
## 更新独立账户 AWS 账户 或管理账户的根用户电子邮件
](#root-user-email-standalone)
+ [
## 更新组织中任何成员的根用户电子邮件
](#root-user-email-orgs)
## 更新独立账户 AWS 账户 或管理账户的根用户电子邮件
要编辑独立版的根用户电子邮件地址 AWS 账户,请执行以下过程中的步骤。
------
#### [ AWS 管理控制台 ]
**注意**
您必须以身份登录 AWS 账户根用户,这不需要其他 IAM 权限。您无法以 IAM 用户或角色身份执行这些步骤。
1. 使用您的 AWS 账户电子邮件地址和密码以您的[AWS 管理控制台](https://console.aws.amazon.com/)身份登录 AWS 账户根用户。
1. 在控制台的右上角,选择您的账户名称或账号,然后选择 **Account**(账户)。
1. 在[**账户**页面](https://console.aws.amazon.com/billing/home#/account),点击**账户详情**旁边的**操作**按钮,然后选择**更新电子邮件地址和密码**。
1. 在**账户详情**页面,点击**电子邮件地址**旁边的**编辑**按钮。
1. 在编**辑账户电子邮件**页面,填写**新电子邮件地址**和**确认新电子邮件地址**字段,并确认您当前的**密码**。然后,选择**保存并继续**。`no-reply@verify.signin.aws` 将向新的电子邮件地址发送验证码。
1. 在**编辑账户电子邮件**页面,于**验证码**栏输入您通过电子邮件收到的验证码,然后选择**确认更新**。
**注意**
验证码可能需要最多 5 分钟时间才能到达。如果您在收件箱中未看到此邮件,请检查垃圾邮件文件夹。
------
#### [ AWS CLI & SDKs ]
AWS CLI 或其中一个 API 操作不支持此任务 AWS SDKs。只有使用才能执行此任务 AWS 管理控制台。
------
## 更新组织中任何成员的根用户电子邮件
要使用 AWS Organizations 控制台编辑组织中任何成员账户的根用户电子邮件地址 ,请执行以下过程中的步骤。
**注意**
在更新成员账户的根用户电子邮件地址之前,我们建议您了解此操作的影响。有关更多信息,请参阅*《AWS Organizations 用户指南》*中的[通过 AWS Organizations为成员账户更新根用户电子邮件地址](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)。
**以根用户身份登录 AWS 管理控制台 后,您也可以直接从账户[页面](https://console.aws.amazon.com/billing/home#/account)更新成员账户的根用户电子邮件地址 。**有关 step-by-step说明,请按照中提供的步骤操作[更新独立账户 AWS 账户 或管理账户的根用户电子邮件 ](#root-user-email-standalone)。
------
#### [ AWS Management Console ]
**注意**
要通过管理账户或组织中的委派管理员账户对成员账户执行此过程,必须[为账户管理服务启用可信访问](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account)。
如果账户所在组织与您用来调用此操作的组织不同,则不能使用此过程访问该账户。
**使用 AWS Organizations 控制台更新成员账户的根用户电子邮件地址**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户身份登录,或在组织的管理账户中以根用户身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **AWS 账户** 页面上,选择要为其更新根用户电子邮件地址的成员账户。
1. 在**账户详细信息**部分中选择**操作**按钮,然后选择**更新电子邮件地址**。
1. 在**电子邮件**下,输入根用户的新电子邮件地址,然后选择**保存**。此操作将向新的电子邮件地址发送一次性密码(OTP)。
**注意**
如果您在等待代码时需要在 Organizations 控制台中关闭此页面,则可以在代码发送后 24 小时内返回并完成 OTP 过程。要执行此操作,请在**账户详细信息**页面上,选择**操作**按钮,然后选择**完成电子邮件更新**。
1. 在**验证码**下,输入在上一步中发送到新电子邮件地址的验证码,然后选择**确认**。此操作将更新该账户的根用户。
------
#### [ AWS CLI & SDKs ]
您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作来检索或更新***根用户的***电子邮件地址(也称为主电子邮件地址):
+ [GetPrimaryEmail](https://docs.aws.amazon.com/accounts/latest/reference/API_GetPrimaryEmail.html)
+ [StartPrimaryEmailUpdate](https://docs.aws.amazon.com/accounts/latest/reference/API_StartPrimaryEmailUpdate.html)
+ [AcceptPrimaryEmailUpdate](https://docs.aws.amazon.com/accounts/latest/reference/API_AcceptPrimaryEmailUpdate.html)
**注意**
要通过管理账户或组织中的委派管理员账户对成员账户执行这些操作,必须[为账户管理服务启用可信访问](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account)。
如果账户所在组织与您用来调用此操作的组织不同,则访问该账户。
**最小权限**
对于各个操作,您必须具有映射到此操作的权限:
`account:GetPrimaryEmail`
`account:StartPrimaryEmailUpdate`
`account:AcceptPrimaryEmailUpdate`
如果使用这些单独权限,就可以向某些用户授予仅读取根用户电子邮件地址信息的权限,而向其他用户同时授予读取和写入的权限。
要完成根用户电子邮件地址 流程,您必须按照以下示例中显示的顺序 APIs 一起使用主电子邮件。
**Example `GetPrimaryEmail`**
以下示例将检索组织中指定成员账户的根用户电子邮件地址。所用凭证必须来自组织管理账户或账户管理委托管理员账户。
```
$ aws account get-primary-email --account-id 123456789012
```
**Example `StartPrimaryEmailUpdate`**
以下示例将启动根用户电子邮件地址更新过程,识别新的电子邮件地址,并向组织中指定成员账户的新电子邮件地址发送一次性密码(OTP)。所用凭证必须来自组织的管理账户或账户管理服务的委派管理员账户。
```
$ aws account start-primary-email-update --account-id 123456789012 --primary-email john@examplecorp.com
```
**Example `AcceptPrimaryEmailUpdate`**
以下示例会接受 OTP 代码并将该新电子邮件地址设置到组织中的指定成员账户。所用凭证必须来自组织的管理账户或账户管理服务的委派管理员账户。
```
$ aws account accept-primary-email-update --account-id 123456789012 --otp 12345678 --primary-email john@examplecorp.com
```
------
# 更新根用户密码
要编辑您 AWS 账户的 root 用户密码,请执行以下过程中的步骤。
------
#### [ AWS 管理控制台 ]
**要编辑您的根用户密码**
**注意**
您必须以身份登录 AWS 账户根用户,这不需要其他 IAM 权限。您无法以 IAM 用户或角色身份执行这些步骤。
1. 使用您的 AWS 账户电子邮件地址和密码以您的[AWS 管理控制台](https://console.aws.amazon.com/)身份登录 AWS 账户根用户。
1. 在控制台的右上角,选择您的账户名称或账号,然后选择 **Account**(账户)。
1. 在[**账户**页面](https://console.aws.amazon.com/billing/home#/account),点击**账户详情**旁边的**操作**按钮,然后选择**更新电子邮件地址和密码**。
1. 在**账户详情**页面,点击**密码**旁边的**编辑**按钮。
1. 在**编辑密码**页面上,填写**当前密码**、**新密码**和**确认新密码**字段。然后,选择**更新密码**。有关其他指导,包括设置根用户密码的最佳实践,请参阅*《IAM 用户指南》*中的[更改 AWS 账户根用户的密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-password.html)。
------
#### [ AWS CLI & SDKs ]
AWS CLI 或其中一个 API 操作不支持此任务 AWS SDKs。您只能使用来执行此任务 AWS 管理控制台。
------
# 更新你的 AWS 账户 名字
管理多个名称时 AWS 账户,请使用与业务部门和应用程序一致的清晰命名惯例进行识别和组织。在重组、合并、收购或更新命名规范期间,您可能需要重命名账户,以维持一致的识别和管理标准。
账户名称会显示在多个位置,例如发票上以及账单和成本管理 (Billing and Cost Management) 控制面板和控制台等 AWS Organizations 控制台中。我们建议您使用标准方法来命名账户,以便您的账户名称易于识别。对于公司账户,请考虑使用*组织*-*目的*-*环境*之类的命名标准(例如,*sales*-*catalog*-*prod*)。出于隐私和安全考虑,请避免使用包含个人身份信息 (PII) 的账户名称。
+ **独立 AWS 账户 —** 对于 AWS 账户 未与组织关联的组织,您可以使用 AWS 管理控制台、或 AWS CLI 和更新您的账户名称 SDKs。若要了解如何执行此操作,请参阅[更新独立版的账户名 AWS 账户](#update-account-name-standalone)。
+ AWS 账户 在@@ **组织内部 —** 对于属于组织的成员账户 AWS Organizations,管理账户或委托管理员账户中的用户可以从 AWS Organizations 控制台集中更新组织中任何成员账户的账户名,也可以通过 AWS CLI 和 SDKs以编程方式更新组织中任何成员账户的账户名。若要了解如何执行此操作,请参阅[为组织 AWS 账户 中的任何成员更新您的账户名](#update-account-name-orgs)。
**注意**
对的更改 AWS 账户 最多可能需要四个小时才能传播到任何地方。
**Topics**
+ [
## 更新独立版的账户名 AWS 账户
](#update-account-name-standalone)
+ [
## 为组织 AWS 账户 中的任何成员更新您的账户名
](#update-account-name-orgs)
## 更新独立版的账户名 AWS 账户
要更改独立版的帐户名 AWS 账户,请执行以下过程中的步骤。
------
#### [ AWS 管理控制台 ]
**最小权限**
您可以使用根用户、IAM 用户或 IAM 角色来更新您的账户名称。如果您使用的是根用户,则无需其他 IAM 权限即可更新账户名称。使用 IAM 用户或 IAM 角色时,您必须至少具有以下 IAM 权限:
`account:GetAccountInformation`
`account:PutAccountName`
**要更新独立账户的账户名**
1. 使用您的 AWS 账户电子邮件地址和密码以您的[AWS 管理控制台](https://console.aws.amazon.com/)身份登录 AWS 账户根用户。
1. 在控制台的右上角,选择您的账户名称或账号,然后选择 **Account**(账户)。
1. 在[**账户**页面](https://console.aws.amazon.com/billing/home#/account),点击**账户详情**旁边的**操作**按钮,然后选择**更新账户名**。
1. 在**名称**栏,输入您要更新的新账户名称,然后选择**保存**。
------
#### [ AWS CLI & SDKs ]
**最小权限**
您可以使用根用户、IAM 用户或 IAM 角色来更新您的账户名称。要执行下列步骤,您的 IAM 用户或 IAM 角色必须至少具有以下 IAM 权限:
`account:GetAccountInformation`
`account:PutAccountName`
**要更新独立账户的账户名**
您还可以使用以下操作之一:
+ AWS CLI: [put-account-name](https://docs.aws.amazon.com/cli/latest/reference/account/put-account-name.html)
```
$ C:\> aws account put-account-name \
--account-name "New-Account-Name"
```
+ AWS SDKs: [PutAccountName](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAccountName.html)
------
## 为组织 AWS 账户 中的任何成员更新您的账户名
在 AWS Organizations 使用所有功能模式下,管理账户和委托管理员账户中的授权的 IAM 用户或 IAM 角色可以集中管理账户名称。
要为组织中的任何成员账户更改账户名,请执行以下流程中的步骤。
### 要求
要使用 AWS Organizations 控制台更新账户名,您需要进行一些初步设置:
+ 您的组织必须启用*所有功能*才能管理成员账户的设置。这样管理员就可以控制成员账户。这是在创建组织时默认设置的。如果您的组织设置为仅*整合账单*,而您要启用所有功能,请参阅[为组织启用所有功能](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 您需要为 AWS 账户管理服务启用可信访问权限。要进行设置,请参阅[为 AWS 账户管理启用可信访问权限](using-orgs-trusted-access.md)。
------
#### [ AWS 管理控制台 ]
**最小权限**
要更新成员账户的账户名称,您的 IAM 用户或 IAM 角色必须拥有以下权限:
`organizations:DescribeOrganization`(仅限控制台)
`account:PutAccountName`
**要更新成员账户的账户名称**
1. 打开 “组织” 控制台,网址为[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)。
1. 在左侧导航窗格中,选择 **AWS 账户**。
1. 在 **AWS 账户** 页面上,选择要更新的成员账户,选择**操作**下拉菜单,然后选择**更新账户名**。
1. 在**名称**栏中,输入更新的名称,然后选择**保存**。
------
#### [ AWS CLI & SDKs ]
**最小权限**
要更新成员账户的账户名称,您的 IAM 用户或 IAM 角色必须拥有以下权限:
`organizations:DescribeOrganization`(仅限控制台)
`account:PutAccountName`
**要更新成员账户的账户名称**
您还可以使用以下操作之一:
+ AWS CLI: [put-account-name](https://docs.aws.amazon.com/cli/latest/reference/account/put-account-name.html)
```
$ C:\> aws account put-account-name \
--account-id 111111111111 \
--account-name "New-Account-Name"
```
+ AWS SDKs: [PutAccountName](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAccountName.html)
------
# 更新您的备用联系人 AWS 账户
备用联系人 AWS 最多可以联系三个与该账户关联的备用联系人。备用联系人不一定是特定人员。如果您拥有负责管理账单、运营和安全相关问题的团队,则可以添加电子邮件分发列表。除此之外,还有与账户的[根用户](root-user.md)关联的电子邮件地址。[主账户联系人](manage-acct-update-contact-primary.md)将继续接收发往根账户电子邮件的所有电子邮件通信。
您只能从与账户关联的以下联系人类型中指定一个类型。
+ 账单联系人
+ 操作联系人
+ 安全联系人
您可以根据账户是独立账户还是组织的一部分,以不同方式添加或编辑备用联系人:
+ **独立 AWS 账户** — 对于 AWS 账户 未与组织关联的组织,您可以使用 AWS 管理控制台或 AWS CLI & 更新自己的备用联系人 SDKs。要了解如何执行此操作,请参阅[为独立 AWS 账户更新备用联系人](#manage-acct-update-contact-alternate-edit)。
+ **AWS 账户 组织内**部 — 对于属于 AWS 组织的成员账户,管理账户或委托管理员账户中的用户可以从 AWS Organizations 控制台集中更新组织中的任何成员账户,也可以通过 AWS CLI & SDKs 以编程方式更新组织中的任何成员账户。要了解如何执行此操作,请参阅[更新组织 AWS 账户 中任何成员的备用联系人](#manage-acct-update-contact-alternate-orgs)。
**Topics**
+ [
## 电话号码和电子邮件地址要求
](#manage-acct-update-contact-alternate-requirements)
+ [
## 更新独立版的备用联系人 AWS 账户
](#manage-acct-update-contact-alternate-edit)
+ [
## 更新组织中任何 AWS 账户 成员的备用联系人
](#manage-acct-update-contact-alternate-orgs)
+ [
## 账户:AlternateContactTypes 上下文密钥
](#context-keys-AlternateContactTypes)
## 电话号码和电子邮件地址要求
在继续更新账户的备用联系人信息之前,我们建议在输入电话号码和电子邮件地址时先查看以下要求。
+ 电话号码只能包含数字、空格和以下字符:“`+-()`”。
+ 电子邮件地址最长可以有 254 个字符,除了标准的字母数字字符外,还可以在电子邮件地址的局部包含以下特殊字符:“`+=.#|!&-_`”。
## 更新独立版的备用联系人 AWS 账户
要添加或编辑独立版的备用联系人 AWS 账户,请执行以下步骤中的步骤。以下 AWS 管理控制台 过程始终*仅*在独立环境中起作用。您只能使用 AWS 管理控制台 访问或更改用于呼叫操作的账户中的备用联系人。
------
#### [ AWS 管理控制台 ]
**为独立版添加或编辑备用联系人 AWS 账户**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
`account:GetAlternateContact`(查看备用联系人详细信息)
`account:PutAlternateContact`(设置或更新备用联系人)
`account:DeleteAlternateContact`(删除备用联系人)
1. 以具有最低权限的 IAM 用户或角色登录 [AWS 管理控制台](https://console.aws.amazon.com/)。
1. 在窗口的右上角,选择您的账户名称,然后选择**账户**。
1. 在[**账户**页面](https://console.aws.amazon.com/billing/home#/account)上,向下滚动到**备用联系人**,在标头右侧选择**编辑**。
**注意**
如果您没有看到**编辑**选项,则可能是因为您并非以账户根用户或具有上述最低权限之人的身份登录。
1. 更改任何可用字段中的值。
**重要**
对于企业而言 AWS 账户,最佳做法是输入公司的电话号码和电子邮件地址,而不是个人的电话号码和电子邮件地址。
1. 完成所有更改后,选择**更新**。
------
#### [ AWS CLI & SDKs ]
您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作来检索、更新或删除***备用***联系人信息:
+ [GetAlternateContact](https://docs.aws.amazon.com/accounts/latest/reference/API_GetAlternateContact.html)
+ [PutAlternateContact](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAlternateContact.html)
+ [DeleteAlternateContact](https://docs.aws.amazon.com/accounts/latest/reference/API_GetAlternateContact.html)
**注意**
要通过管理账户或组织中的委托管理员账户对成员账户执行这些操作,必须[启用账户服务可信访问权限](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account)。
**最小权限**
对于各个操作,您必须具有映射到此操作的权限:
`GetAlternateContact`(查看备用联系人详细信息)
`PutAlternateContact`(设置或更新备用联系人)
`DeleteAlternateContact`(删除备用联系人)
如果使用这些单独权限,就可以授予某些用户仅读取联系人信息的权限,而授予其他用户同时读取和写入的权限。
**Example**
以下示例检索了调用方账户的当前账单备用联系人。
```
$ aws account get-alternate-contact \
--alternate-contact-type=BILLING
{
"AlternateContact": {
"AlternateContactType": "BILLING",
"EmailAddress": "saanvi.sarkar@amazon.com",
"Name": "Saanvi Sarkar",
"PhoneNumber": "+1(206)555-0123",
"Title": "CFO"
}
}
```
**Example**
以下示例为调用方账户设置了新的操作备用联系人。
```
$ aws account put-alternate-contact \
--alternate-contact-type=OPERATIONS \
--email-address=mateo_jackson@amazon.com \
--name="Mateo Jackson" \
--phone-number="+1(206)555-1234" \
--title="Operations Manager"
```
如果成功,此命令不会产生任何输出。
**Example**
如果您对相同 AWS 账户 和相同的联系人类型执行多项`PutAlternateContact`操作,则第一个操作会添加新联系人,而所有连续呼叫相同的联系 AWS 账户 人和联系人类型都会更新现有联系人。
**Example**
以下示例删除了调用方账户的安全备用联系人。
```
$ aws account delete-alternate-contact \
--alternate-contact-type=SECURITY
```
如果成功,此命令不会产生任何输出。
如果尝试多次删除同一个联系人,第一次会静默成功。之后所有尝试都会生成 `ResourceNotFound` 异常。
------
## 更新组织中任何 AWS 账户 成员的备用联系人
要添加或编辑组织 AWS 账户 中任何成员的备用联系人详细信息,请执行以下过程中的步骤。
### 要求
要使用 AWS Organizations 控制台更新备用联系人,您需要进行一些初步设置:
+ 您的组织必须启用*所有功能*才能管理成员账户的设置。这样管理员就可以控制成员账户。这是在创建组织时默认设置的。如果您的组织设置为仅*整合账单*,而您要启用所有功能,请参阅[为组织启用所有功能](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 您需要为 AWS 账户管理服务启用可信访问权限。要进行设置,请参阅[为 AWS 账户管理启用可信访问权限](using-orgs-trusted-access.md)。
**注意**
AWS Organizations 托管策略`AWSOrganizationsReadOnlyAccess`或`AWSOrganizationsFullAccess`已更新,提供访问 AWS 账户管理的权限, APIs 以便您可以从 AWS Organizations 控制台访问账户数据。要查看更新的托管策略,请参阅 Organizati [ons AWS 托管策略的更新](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_reference_available-policies.html#ref-iam-managed-policies-updates.html)。
------
#### [ AWS 管理控制台 ]
**为组织 AWS 账户 中的任何成员添加或编辑备用联系人**
1. 使用组织的管理账户凭证登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。
1. 从 **AWS 账户** 中,选择要更新的账户。
1. 选择**联系人信息**,然后在**备用联系人**下找到联系人类型:**账单联系人**、**安全联系人**或**运营联系人**。
1. 要添加新联系人,请选择**添加**。或者要更新现有联系人,请选择**编辑**。
1. 更改任何可用字段中的值。
**重要**
对于企业而言 AWS 账户,最佳做法是输入公司的电话号码和电子邮件地址,而不是个人的电话号码和电子邮件地址。
1. 完成所有更改后,选择**更新**。
------
#### [ AWS CLI & SDKs ]
您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作来检索、更新或删除***备用***联系人信息:
+ [GetAlternateContact](https://docs.aws.amazon.com/accounts/latest/reference/API_GetAlternateContact.html)
+ [PutAlternateContact](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAlternateContact.html)
+ [DeleteAlternateContact](https://docs.aws.amazon.com/accounts/latest/reference/API_GetAlternateContact.html)
**注意**
要通过管理账户或组织中的委托管理员账户对成员账户执行这些操作,必须[启用账户服务可信访问权限](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account)。
您无法访问与您的操作调用组织不同的组织中的账户。
**最小权限**
对于各个操作,您必须具有映射到此操作的权限:
`GetAlternateContact`(查看备用联系人详细信息)
`PutAlternateContact`(设置或更新备用联系人)
`DeleteAlternateContact`(删除备用联系人)
如果使用这些单独权限,就可以授予某些用户仅读取联系人信息的权限,而授予其他用户同时读取和写入的权限。
**Example**
以下示例检索了组织中调用方账户的当前账单备用联系人。所用凭证必须来自组织管理账户或账户管理委托管理员账户。
```
$ aws account get-alternate-contact \
--alternate-contact-type=BILLING \
--account-id 123456789012
{
"AlternateContact": {
"AlternateContactType": "BILLING",
"EmailAddress": "saanvi.sarkar@amazon.com",
"Name": "Saanvi Sarkar",
"PhoneNumber": "+1(206)555-0123",
"Title": "CFO"
}
}
```
**Example**
以下示例为组织中的指定成员账户设置了操作备用联系人。所用凭证必须来自组织管理账户或账户管理委托管理员账户。
```
$ aws account put-alternate-contact \
--account-id 123456789012 \
--alternate-contact-type=OPERATIONS \
--email-address=mateo_jackson@amazon.com \
--name="Mateo Jackson" \
--phone-number="+1(206)555-1234" \
--title="Operations Manager"
```
如果成功,此命令不会产生任何输出。
如果您对相同 AWS 账户 和相同的联系人类型执行多项`PutAlternateContact`操作,则第一个操作会添加新联系人,而所有连续呼叫相同的联系 AWS 账户 人和联系人类型都会更新现有联系人。
**Example**
以下示例删除了组织中指定成员账户的安全备用联系人。所用凭证必须来自组织管理账户或账户管理委托管理员账户。
```
$ aws account delete-alternate-contact \
--account-id 123456789012 \
--alternate-contact-type=SECURITY
```
如果成功,此命令不会产生任何输出。
------
**Example**
如果尝试多次删除同一个联系人,第一次会静默成功。之后所有尝试都会生成 `ResourceNotFound` 异常。
## 账户:AlternateContactTypes 上下文密钥
可以使用上下文键 `account:AlternateContactTypes` 指定 IAM 策略允许(或拒绝)的三种账单类型中之一。例如,以下示例 IAM 权限策略使用此条件键,允许附加的主体仅检索组织中特定账户的 `BILLING` 备用联系人,但不能进行修改。
由于 `account:AlternateContactTypes` 是多值字符串类型,因此必须使用 [`ForAnyValue` 或 `ForAllValues` 多值字符串](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions)运算符。
# 更新您的主要联系人 AWS 账户
您可更新与账户相关联的主要联系人信息,包括您的联系人全名、公司名称、邮寄地址、电话号码和网址。
您可以根据账户是独立账户还是组织的一部分,以不同方式编辑主账户联系人:
+ **独立 AWS 账户** — 对于 AWS 账户 未与组织关联的组织,您可以使用 AWS 管理控制台或 AWS CLI & 更新自己的主要账户联系人 SDKs。要了解如何执行此操作,请参阅[更新独立 AWS 账户 主要联系人](#manage-acct-update-contact-primary-edit)。
+ **AWS 账户 组织内**部 — 对于属于 AWS 组织的成员账户,管理账户或委托管理员账户中的用户可以从 AWS Organizations 控制台集中更新组织中的任何成员账户,也可以通过 AWS CLI & SDKs 以编程方式更新组织中的任何成员账户。要了解如何执行此操作,请参阅[更新组织中的 AWS 账户 主要联系人](#manage-acct-update-contact-primary-orgs)。
**Topics**
+ [
## 电话号码和电子邮件地址要求
](#manage-acct-update-contact-primary-requirements)
+ [
## 更新独立账户 AWS 账户 或管理账户的主要联系人
](#manage-acct-update-contact-primary-edit)
+ [
## 更新组织中任何 AWS 成员账户的主要联系人
](#manage-acct-update-contact-primary-orgs)
## 电话号码和电子邮件地址要求
在继续更新账户的主要联系人信息之前,我们建议在输入电话号码和电子邮件地址时先查看以下要求。
+ 电话号码只能包含数字。
+ 电话号码必须以 `+` 和国家/地区代码开头,并且国家/地区代码后面不得有任何前导零或多余的空格。例如,`+1`(美国/加拿大)或 `+44`(英国)。
+ 电话号码在区号、交换代码和本地代码之间不得包含空格。例如,\$112025550179。
+ 出于安全起见,电话号码必须能够接收来自 AWS的短信。不接受免费电话号码,因为大多数免费电话都不支持短信。
+ 对于企业而言 AWS 账户,最佳做法是输入公司的电话号码和电子邮件地址,而不是个人的电话号码和电子邮件地址。如果使用个人电子邮件地址或电话号码配置账户的[根用户](root-user.md),那么在相关人员离开公司后就难以恢复账户。
## 更新独立账户 AWS 账户 或管理账户的主要联系人
要编辑独立版的主要联系人详细信息 AWS 账户,请执行以下步骤中的步骤。以下 AWS 管理控制台 过程始终*仅*在独立环境中起作用。您只能使用 AWS 管理控制台 访问或更改用于调用该操作的账户的主要联系人信息。
------
#### [ AWS 管理控制台 ]
**编辑独立版的主要联系人 AWS 账户**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
`account:GetContactInformation`(查看主要联系人详细信息)
`account:PutContactInformation`(更新主要联系人详细信息)
1. 以具有最低权限的 IAM 用户或角色登录 [AWS 管理控制台](https://console.aws.amazon.com/)。
1. 在窗口的右上角,选择您的账户名称,然后选择**账户**。
1. 向下滚动到**联系人信息**部分,在其旁边选择**编辑**。
1. 更改任何可用字段中的值。
1. 完成所有更改后,选择**更新**。
------
#### [ AWS CLI & SDKs ]
您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作来检索、更新或删除***主要***联系人信息:
+ [GetContactInformation](https://docs.aws.amazon.com/accounts/latest/reference/API_GetContactInformation.html)
+ [PutContactInformation](https://docs.aws.amazon.com/accounts/latest/reference/API_PutContactInformation.html)
**注意**
要通过管理账户或组织中的委托管理员账户对成员账户执行这些操作,必须[启用账户服务可信访问权限](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account)。
**最小权限**
对于各个操作,您必须具有映射到此操作的权限:
`account:GetContactInformation`
`account:PutContactInformation`
如果使用这些单独权限,就可以授予某些用户仅读取联系人信息的权限,而授予其他用户同时读取和写入的权限。
**Example**
以下示例检索了调用方账户的当前主要联系人信息。
```
$ aws account get-contact-information
{
"ContactInformation": {
"AddressLine1": "123 Any Street",
"City": "Seattle",
"CompanyName": "Example Corp, Inc.",
"CountryCode": "US",
"DistrictOrCounty": "King",
"FullName": "Saanvi Sarkar",
"PhoneNumber": "+15555550100",
"PostalCode": "98101",
"StateOrRegion": "WA",
"WebsiteUrl": "https://www.examplecorp.com"
}
}
```
**Example**
以下示例为调用方账户设置了新的主要联系人信息。
```
$ aws account put-contact-information --contact-information \
'{"AddressLine1": "123 Any Street", "City": "Seattle", "CompanyName": "Example Corp, Inc.", "CountryCode": "US", "DistrictOrCounty": "King",
"FullName": "Saanvi Sarkar", "PhoneNumber": "+15555550100", "PostalCode": "98101", "StateOrRegion": "WA", "WebsiteUrl": "https://www.examplecorp.com"}'
```
如果成功,此命令不会产生任何输出。
------
## 更新组织中任何 AWS 成员账户的主要联系人
要编辑组织中任何 AWS 成员账户中的主要联系人详细信息,请执行以下过程中的步骤。
### 其他要求
要使用 AWS Organizations 控制台更新主要联系人,您需要进行一些初步设置:
+ 您的组织必须启用*所有功能*才能管理成员账户的设置。这样管理员就可以控制成员账户。这是在创建组织时默认设置的。如果您的组织设置为仅*整合账单*,而您要启用所有功能,请参阅[为组织启用所有功能](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 您需要为 AWS 账户管理服务启用可信访问权限。要进行设置,请参阅[为 AWS 账户管理启用可信访问权限](using-orgs-trusted-access.md)。
------
#### [ AWS 管理控制台 ]
**编辑组织 AWS 账户 中任何人的主要联系人**
1. 使用组织的管理账户凭证登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。
1. 从 **AWS 账户** 中,选择要更新的账户。
1. 选择**联系人信息**,然后找到**主要联系人**,
1. 选择**编辑**。
1. 更改任何可用字段中的值。
1. 完成所有更改后,选择**更新**。
------
#### [ AWS CLI & SDKs ]
您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作来检索、更新或删除***主要***联系人信息:
+ [GetContactInformation](https://docs.aws.amazon.com/accounts/latest/reference/API_GetContactInformation.html)
+ [PutContactInformation](https://docs.aws.amazon.com/accounts/latest/reference/API_PutContactInformation.html)
**注意**
要通过管理账户或组织中的委托管理员账户对成员账户执行这些操作,必须[启用账户服务可信访问权限](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account)。
您无法访问与您的操作调用组织不同的组织中的账户。
**最小权限**
对于各个操作,您必须具有映射到此操作的权限:
`account:GetContactInformation`
`account:PutContactInformation`
如果使用这些单独权限,就可以授予某些用户仅读取联系人信息的权限,而授予其他用户同时读取和写入的权限。
**Example**
以下示例检索了组织中指定成员账户的当前主要联系人信息。所用凭证必须来自组织管理账户或账户管理委托管理员账户。
```
$ aws account get-contact-information --account-id 123456789012
{
"ContactInformation": {
"AddressLine1": "123 Any Street",
"City": "Seattle",
"CompanyName": "Example Corp, Inc.",
"CountryCode": "US",
"DistrictOrCounty": "King",
"FullName": "Saanvi Sarkar",
"PhoneNumber": "+15555550100",
"PostalCode": "98101",
"StateOrRegion": "WA",
"WebsiteUrl": "https://www.examplecorp.com"
}
}
```
**Example**
以下示例为组织中的指定成员账户设置了主要联系人信息。所用凭证必须来自组织管理账户或账户管理委托管理员账户。
```
$ aws account put-contact-information --account-id 123456789012 \
--contact-information '{"AddressLine1": "123 Any Street", "City": "Seattle", "CompanyName": "Example Corp, Inc.", "CountryCode": "US", "DistrictOrCounty": "King",
"FullName": "Saanvi Sarkar", "PhoneNumber": "+15555550100", "PostalCode": "98101", "StateOrRegion": "WA", "WebsiteUrl": "https://www.examplecorp.com"}'
```
如果成功,此命令不会产生任何输出。
------
# 查看 AWS 账户 标识符
AWS 为每 AWS 账户人分配以下唯一标识符:
**[AWS 账户 ID](#FindAccountId)**
一个 12 位数字(如 012345678901)用于唯一标识 AWS 账户。许多 AWS 资源的 [Amazon 资源名称中都包含账户 ID (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。账户 ID 部分将一个账户中的资源与另一个账户中的资源区分开来。如果您是 AWS Identity and Access Management (IAM) 用户,则可以使用账户 ID 或账户别名登录。 AWS 管理控制台 虽然帐户与任何识别信息一样 IDs,应谨慎使用和共享,但它们不被视为机密、敏感或机密信息。
**[规范用户 ID](#FindCanonicalId)**
一种字母数字标识符,例如`79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be`,它是 ID 的混淆形式。 AWS 账户 在使用亚马逊简单存储服务 (Amazon S3) 授予对存储桶和对象的跨账户访问权限 AWS 账户 时,您可以使用此 ID 来识别。您可以按[根用户](root-user.md)或 IAM 用户的身份检索 AWS 账户 的规范用户 ID。
您必须通过身份验证 AWS 才能查看这些标识符。
**警告**
请勿将您的 AWS 凭证(包括密码和访问密钥)提供给需要您的 AWS 账户 标识符才能与您共享 AWS 资源的第三方。这样做可以让他们获得与你相同的访问权限。 AWS 账户
## 找到你的 AWS 账户 身份证
您可以使用 AWS 管理控制台 或 AWS Command Line Interface (AWS CLI) 来查找 AWS 账户 ID。在控制台中,账户 ID 的位置取决于您是以根用户还是以 IAM 用户身份登录。无论您以根用户还是以 IAM 用户身份登录,账户 ID 都是相同的。
### 以根用户身份查找您的账户 ID
------
#### [ AWS 管理控制台 ]
**在以 root 用户 AWS 账户 身份登录时查找你的 ID**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
当以根用户身份登录时,您不需要任何 IAM 权限。
1. 在右上角的导航栏中,请选择您的账户名称或编号,然后选择**安全凭证**。
**提示**
如果您没有看到**安全凭证**页面,您可以用 IAM 角色的联合用户身份登录,而非 IAM 用户身份登录。在这种情况下,请查找**账户**条目及其旁边的账户 ID 号。
1. 在**账户详细信息**部分下,账号显示在 **AWS 账户 ID** 旁边。
------
#### [ AWS CLI & SDKs ]
**要查找您的 AWS 账户 身份证,请使用 AWS CLI**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
当以根用户身份运行命令时,您不需要任何 IAM 权限。
按照如下所示使用 [get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html) 命令。
```
$ aws sts get-caller-identity \
--query Account \
--output text
123456789012
```
------
### 以 IAM 用户身份查找账户 ID
------
#### [ AWS 管理控制台 ]
**以 IAM 用户 AWS 账户 身份登录时查找您的 ID**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
`account:GetAccountInformation`
1. 在右上角的导航栏中,选择您的用户名,然后选择 **Security credentials**(安全凭证)。
**提示**
如果您没有看到**安全凭证**页面,您可以用 IAM 角色的联合用户身份登录,而非 IAM 用户身份登录。在这种情况下,请查找**账户**条目及其旁边的账户 ID 号。
1. 在页面顶部的**账户详细信息**下,账号显示在 **AWS 账户 ID** 旁边。
------
#### [ AWS CLI & SDKs ]
**要查找您的 AWS 账户 身份证,请使用 AWS CLI**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
当以 IAM 用户或角色的身份运行命令时,您必须具有:
`sts:GetCallerIdentity`
按照如下所示使用 [get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html) 命令。
```
$ aws sts get-caller-identity \
--query Account \
--output text
123456789012
```
------
## 查找您的规范用户 ID AWS 账户
您可以使用 AWS 管理控制台 或找到适合您的 AWS 账户 规范用户 ID。 AWS CLI的规范用户 ID AWS 账户 是该账户所特有的。您可以以根用户、联合用户或 IAM 用户的 AWS 账户 身份检索规范用户 ID。
### 以根用户或 IAM 用户的身份查找规范 ID
------
#### [ AWS 管理控制台 ]
**在您以根用户或 IAM 用户身份登录控制台时查找您的账户的规范用户 ID**
**最小权限**
要执行下列步骤,您必须至少具有以下 IAM 权限:
当以根用户身份运行命令时,您不需要任何 IAM 权限。
当以 IAM 用户身份登录时,您必须具有:
`account:GetAccountInformation`
1. 以根用户或 IAM 用户身份登录。 AWS 管理控制台
1. 在右上角的导航栏中,请选择您的账户名称或编号,然后选择**安全凭证**。
**提示**
如果您没有看到**安全凭证**页面,您可以用 IAM 角色的联合用户身份登录,而非 IAM 用户身份登录。在这种情况下,请查找**账户**条目及其旁边的账户 ID 号。
1. 在**账户详情**部分下,规范用户 ID 显示在**规范用户 ID** 旁边。您可以使用您的规范用户 ID 来配置 Amazon S3 访问控制列表 () ACLs。
------
#### [ AWS CLI & SDKs ]
**要查找规范用户 ID,请使用 AWS CLI**
同样的 AWS CLI ,API 命令适用于 AWS 账户根用户、IAM 用户或 IAM 角色。
按如下方式使用 [list-buckets](https://docs.aws.amazon.com/cli/latest/reference/s3api/list-buckets.html) 命令。
```
$ aws s3api list-buckets \
--max-items 10 \
--page-size 10 \
--query Owner.ID \
--output text
249fa2f1dc32c330EXAMPLE91b2778fcc65f980f9172f9cb9a5f50ccbEXAMPLE
```
------
### 以具有 IAM 角色的联合用户身份查找规范 ID
------
#### [ AWS 管理控制台 ]
**在以具有 IAM 角色的联合用户身份登录控制台时查找账户的规范用户 ID**
**最小权限**
您必须拥有列出和查看 Amazon S3 存储桶的权限。
1. 以具有 IAM 角色的联合用户身份登录。 AWS 管理控制台
1. 在 Amazon S3 控制台中,请选择存储桶名称,来查看存储桶详细信息。
1. 选择**权限**选项卡。
1. 在**访问控制列表**部分的**存储桶拥有者**下,将显示 AWS 账户 的规范 ID。
------
#### [ AWS CLI & SDKs ]
**要查找规范用户 ID,请使用 AWS CLI**
同样的 AWS CLI ,API 命令适用于 AWS 账户根用户、IAM 用户或 IAM 角色。
按如下方式使用 [list-buckets](https://docs.aws.amazon.com/cli/latest/reference/s3api/list-buckets.html) 命令。
```
$ aws s3api list-buckets \
--max-items 10 \
--page-size 10 \
--query Owner.ID \
--output text
249fa2f1dc32c330EXAMPLE91b2778fcc65f980f9172f9cb9a5f50ccbEXAMPLE
```
------