本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 帳戶根使用者
<a name="id_root-user"></a>

當您首次建立 Amazon Web Services (AWS) 帳戶時，您會從單一登入身分開始，該身分可完整存取帳戶中的所有 AWS 服務和資源。此身分稱為 AWS 帳戶*根使用者*。您用來建立 的電子郵件地址和密碼 AWS 帳戶 是您用來以根使用者身分登入的登入資料。
+ 僅使用根使用者來執行需要根層級許可的任務。如需檢視需要您以根使用者身分登入的任務完整清單，請參閱 [需要根使用者憑證的任務](#root-user-tasks)。
+ 遵循[適用於 AWS 帳戶的根使用者最佳實務](root-user-best-practices.md)。
+ 如果您登入時遇到問題，請參閱[登入 AWS 管理主控台](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)。

**重要**  
強烈建議您不使用根使用者處理日常任務，並且遵循 [AWS 帳戶的根使用者最佳實務](root-user-best-practices.md)。保護您的根使用者憑證，並將其用來執行只能由根使用者執行的任務。如需檢視需要您以根使用者身分登入的任務完整清單，請參閱 [需要根使用者憑證的任務](#root-user-tasks)。

儘管依預設，根使用者會強制啟用 MFA，但這需要使用者在初始帳戶建立期間或登入期間依提示手動新增 MFA。如需有關使用 MFA 保護根使用者的詳細資訊，請參閱[的多重要素驗證 AWS 帳戶根使用者](enable-mfa-for-root.md)。

## 集中管理成員帳戶的根存取權
<a name="id_root-user-access-management"></a>

若要協助您大規模管理憑證，您可以集中安全地存取 AWS Organizations中成員帳戶的根使用者憑證。啟用 時 AWS Organizations，您可以將所有 AWS 帳戶合併為組織以進行集中管理。集中根存取權可讓您移除根使用者憑證，並對成員帳戶執行下列特權任務。

**移除成員帳戶根使用者憑證**  
[集中根存取成員帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)後，您可以選擇從 Organizations 中的成員帳戶刪除根使用者憑證。您可以移除根使用者密碼、存取金鑰、簽署憑證，以及停用多重要素驗證 (MFA)。您在 Organizations 中建立的新帳戶預設沒有根使用者憑證。成員帳戶無法登入其根使用者，也無法為其根使用者執行密碼復原 (除非啟用帳戶復原)。

**執行需要根使用者憑證的特權任務**  
某些任務只有在您以帳戶的根使用者身分登入時才能執行。其中一些 [需要根使用者憑證的任務](#root-user-tasks) 可以由 IAM 的管理帳戶或委派管理員執行。若要進一步了解如何對成員帳戶採取特權動作，請參閱[執行特權任務](id_root-user-privileged-task.md)。

**啟用根使用者的帳戶復原**  
如果您需要復原成員帳戶的根使用者憑證，Organizations 管理帳戶或委派管理員可以執行**允許密碼復原**特權任務。有權存取成員帳戶根使用者電子郵件收件匣的人員可以[重設根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)，以復原根使用者憑證。我們建議您在完成需要存取根使用者的任務後，刪除根使用者憑證。

## 需要根使用者憑證的任務
<a name="root-user-tasks"></a>

建議您[在 中設定管理使用者 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)，以執行每日任務和存取 AWS 資源。不過，您可以只以帳戶根使用者身分登入來執行任務下面所列的任務。

為了簡化在 中跨成員帳戶管理特權根使用者憑證 AWS Organizations，您可以啟用集中式根存取，以協助您集中保護對 的高度特權存取 AWS 帳戶。 [集中管理成員帳戶的根存取權](#id_root-user-access-management)可讓您集中移除和防止長期根使用者憑證復原，改善組織中的帳戶安全性。啟用此功能後，您可以對成員帳戶執行下列特權任務。
+ 移除成員帳戶根使用者憑證，以防止根使用者的帳戶復原。您也可以允許密碼復原，來復原成員帳戶的根使用者憑證。
+ 移除設定錯誤的儲存貯體政策，此政策拒絕所有主體存取 Amazon S3 儲存貯體。
+ 刪除拒絕所有主體存取 Amazon SQS 佇列的 Amazon Simple Queue Service 資源型政策。

**帳戶管理任務**
+ [變更 AWS 帳戶 設定。](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)不屬於 AWS Organizations 的獨立 AWS 帳戶 需要根登入資料，才能更新電子郵件地址、根使用者密碼和根使用者存取金鑰。其他帳戶設定，例如帳戶名稱、聯絡資訊、替代聯絡人、付款貨幣偏好設定 AWS 區域，以及不需要根使用者憑證。
**注意**  
AWS Organizations啟用所有功能之後，可用於從管理帳戶和委派管理員帳戶集中管理成員帳戶設定。管理帳戶和委派管理員帳戶中的授權 IAM 使用者或 IAM 角色可以關閉成員帳戶，並更新成員帳戶的根電子郵件地址、帳戶名稱、聯絡資訊、替代聯絡人和 AWS 區域 。
+ [關閉您的 AWS 帳戶。](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)不屬於 的獨立 AWS 帳戶 AWS Organizations 需要根登入資料才能關閉帳戶。使用 AWS Organizations，您可以從管理帳戶和委派的管理員帳戶集中關閉成員帳戶。
+ [還原 IAM 使用者許可。](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)如果唯一的 IAM 管理員不小心撤銷自己的許可，您可以根使用者的身分登入，即可編輯政策和還原這些許可。

**帳單任務**
+ [啟動對帳單與成本管理主控台的 IAM 存取](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate)。
+ 一些帳單任務僅限於根使用者。如需詳細資訊，請參閱 AWS Billing [《 使用者指南》中的管理 AWS 帳戶](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html) 。
+ 檢視特定稅務發票。具有 [aws-portal：ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) 許可的 IAM 使用者可以從 AWS 歐洲檢視和下載增值稅發票，但不能從 AWS Inc. 或 Amazon Internet Services Private Limited(AISPL) 下載增值稅發票。

**AWS GovCloud (US) 任務**
+ [註冊 AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html)。
+ 從 請求 AWS GovCloud (US) 帳戶根使用者存取金鑰 AWS 支援。

**Amazon EC2 任務**
+ 在預留執行個體市場[註冊為賣方](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html)。

**AWS KMS 任務**
+ 如果 AWS Key Management Service 金鑰變成無法管理，管理員可以透過聯絡 來復原金鑰 支援；不過， 會透過確認票證 OTP 來 支援 回應根使用者的主要電話號碼以進行授權。

**Amazon Mechanical Turk 任務**
+  [將您的 AWS 帳戶 連結至您的 MTurk 申請者帳戶](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking)。

**Amazon Simple Storage Service 任務**
+ [設定 Amazon S3 儲存貯體，以啟用 MFA (多重因素認證)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)。
+ [編輯或刪除拒絕所有主體的 Amazon S3 儲存貯體政策](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/)。

  您可以使用特權動作，來解除鎖定儲存貯體政策設定錯誤的 Amazon S3 儲存貯體。如需詳細資訊，請參閱[在 AWS Organizations 成員帳戶上執行特權任務](id_root-user-privileged-task.md)。

**Amazon Simple Queue Service 任務**
+ [編輯或刪除拒絕所有主體的 Amazon SQS 資源型政策](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy)。

  您可以使用特權動作，來解除鎖定資源型政策設定錯誤的 Amazon SQS 佇列。如需詳細資訊，請參閱[在 AWS Organizations 成員帳戶上執行特權任務](id_root-user-privileged-task.md)。

## 其他資源
<a name="id_root-user-resources"></a>

如需 AWS 根使用者的詳細資訊，請參閱下列資源：
+ 如需根使用者問題的協助，請參閱 [使用根使用者來疑難排解問題](troubleshooting_root-user.md)。
+ 若要集中管理 中的根使用者電子郵件地址 AWS Organizations，請參閱*AWS Organizations 《 使用者指南*》中的[更新成員帳戶的根使用者電子郵件地址](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)。

下列文章將提供有關如何使用根使用者的更多資訊。
+ [保護我 AWS 帳戶 及其資源的最佳實務有哪些？](https://repost.aws/knowledge-center/security-best-practices)
+ [如何建立 EventBridge 事件規則，以便在有人使用我的根使用者時通知我？](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule) 
+ [監控並通知 AWS 帳戶根使用者 活動](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [監控 IAM 根使用者活動](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)