本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 如何以及何时在 AMS 中使用 root 用户账户 r [oot 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)是您 AWS 账户中的超级用户。AMS 监控根用户使用情况。我们建议您仅将 root 用于少数需要它的任务,例如:更改账户设置、激活 AWS Identity and Access Management (IAM) 账单和成本管理权限、更改根密码以及启用多因素身份验证 (MFA)。请参阅[《用户*指南》*中的 “需要根用户凭据的AWS Identity and Access Management 任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)”。 **注意** 在 AMS Advanced 入职期间启用 MFA,明确禁止根用户访问。AMS 管理的账户的根访问权限与其他 AWS 账户不同,对整个 AMS 管理的环境的安全至关重要。配置的 MFA 是虚拟 MFA,使用 AMS 拥有的设备执行。在 AMS 的帮助下配置虚拟 MFA 后,虚拟令牌会立即删除。这样可以确保您和 AMS 都无法以 root 用户身份登录账户。只有在特殊请求时才能重新启用 root 登录(详见下文),AMS 希望仅在绝对必要时才使用此类访问权限。有关 MFA 的信息,请参阅[使用多重身份验证保护新账户](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/sog-secure-new-account-with-mfa.html)。 根访问权限总是会触发 AMS 安全和运营团队的响应。AMS 会监控根访问权限的 API 调用,如果检测到此类访问,则会触发警报。 请求根访问权限在 AMS 账户类型之间略有不同。 **使用 AMS 高级单账户登陆区进行根访问权限**: 如果您有单账户登录区,请联系您的云服务交付经理 (CSDM) 和云架构师 (CAs),告知他们您需要的根访问工作。最好在拟议活动开始前二十四小时发出通知。 **使用 AMS Advanced 多账号登陆区进行根访问权限**: 对于多账户 landing zone 应用程序、共享服务、安全或网络账户,请使用管理 \| 其他 \| 其他 (ct-1e1xtak34nx76) 更改类型。包括使用根用户凭证的日期、时间和目的,并安排 RFC,确保在建议的活动开始前二十四小时发出通知。使用您的多账户 landing zone 管理账户提交 RFC。 此外,请提前 CAs 24 小时联系您的 CSDM,告知他们您需要的 root 访问工作。 **AMS 操作和对 root 用户使用情况的安全响应**: 使用 root 用户帐户时,AMS 会收到警报。如果未计划使用根证书,他们会联系 AMS Security 团队和您的账户团队,以验证这是否是预期的活动。如果不是预期的活动,AMS 会与您的安全团队合作调查问题。