Gestire centralmente l'accesso root per gli account membri Attività che richiedono credenziali dell'utente root Risorse aggiuntive

Utente root dell'account AWS

Quando crei un account Amazon Web Services (AWS) per la prima volta, inizi con una singola identità di accesso che ha accesso completo a tutti i servizi e le risorse AWS nell'account. Questa identità è chiamata utente root dell'account AWS. L'indirizzo e-mail e la password che hai usato per creare il tuo Account AWS sono le credenziali che utilizzi per accedere come utente root.

Ricorri all'utente root solo per eseguire le attività che richiedono le autorizzazioni a livello root. Per un elenco completo delle attività che richiedono il tuo accesso come utente root, consulta la pagina Attività che richiedono credenziali dell'utente root.
Segui le best practice per gli utenti root per il tuo Account AWS.
Se riscontri problemi di accesso, consulta Accedi alla Console di gestione AWS.

Importante

Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane e di seguire le best practice dell'utente root per il tuo Account AWS. Conserva le credenziali dell'utente root e utilizzale per eseguire le operazioni che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono il tuo accesso come utente root, consulta la pagina Attività che richiedono credenziali dell'utente root.

Sebbene l'MFA venga applicata per impostazione predefinita per gli utenti root, è comunque necessaria un'azione da parte del cliente per aggiungere l'MFA durante la creazione iniziale dell'account o quando viene richiesto durante l'accesso. Per ulteriori informazioni sull'utilizzo dell'MFA per proteggere l'utente root, consulta Autenticazione a più fattori per Utente root dell'account AWS.

Gestire centralmente l'accesso root per gli account membri

Per aiutarti a gestire le credenziali su larga scala, puoi proteggere centralmente l'accesso alle credenziali degli utenti root per gli account membri in AWS Organizations. Quando abiliti AWS Organizations, combini tutti gli AWS in un'organizzazione per la gestione centralizzata. La centralizzazione dell'accesso root consente di rimuovere le credenziali dell'utente root e completare le seguenti attività con privilegi sugli account membri.

Rimuovere le credenziali dell'utente root per gli account membri: Dopo aver centralizzato l'accesso root per gli account membri, puoi scegliere di eliminare le credenziali dell'utente root dagli account membri in Organizations. Puoi rimuovere la password dell'utente root, le chiavi di accesso, i certificati per la firma e disattivare l'autenticazione a più fattori (MFA). Per impostazione predefinita, i nuovi account creati in Organizations non hanno credenziali dell'utente root. Gli account membri non possono accedere al proprio utente root o eseguirne il recupero della password a meno che non sia abilitato il recupero dell'account.
Esegui attività con privilegi che richiedono credenziali dell'utente root.: Alcune attività possono essere eseguite solo quando si effettua l'accesso come utente root di un account. Alcune di queste Attività che richiedono credenziali dell'utente root possono essere eseguite dall'account di gestione o dall'amministratore delegato di IAM. Per ulteriori informazioni su come eseguire azioni con privilegi sugli account membri, consulta Eseguire un'attività con privilegi.
Abilitare il ripristino dell'account dell'utente root: Se è necessario recuperare le credenziali dell'utente root per un account membro, l'account di gestione di Organizations o l'amministratore delegato può eseguire l'attività con privilegi Consenti il recupero della password. La persona con accesso alla casella di posta elettronica dell'utente root per l'account membro può reimpostare la password dell'utente root per recuperare le credenziali dell'utente root. Ti consigliamo di eliminare le credenziali dell'utente root una volta completata l'attività che richiede l'accesso all'utente root.

Attività che richiedono credenziali dell'utente root

Si consiglia di configurare un utente amministrativo in AWS IAM Identity Center per eseguire le attività quotidiane e accedere alle risorse AWS. Tuttavia, è possibile eseguire le attività elencate di seguito solo se si effettua l'accesso come utente root di un account.

Per semplificare la gestione delle credenziali degli utenti root con privilegi tra gli account membri in AWS Organizations, puoi abilitare l'accesso root centralizzato per proteggere centralmente l'accesso con numerosi privilegi al tuo Account AWS. Gestire centralmente l'accesso root per gli account membri consente di rimuovere e impedire centralmente il recupero a lungo termine delle credenziali degli utenti root, migliorando la sicurezza dell'account nell'organizzazione. Dopo aver abilitato questa funzionalità, è possibile completare le seguenti attività con privilegi sugli account membri.

Rimuovi le credenziali dell'utente root dell'account membro per impedire il recupero dell'account dell'utente root. Puoi anche consentire il recupero della password per recuperare le credenziali dell'utente root per un account membro.
Rimuovi una policy del bucket configurata non correttamente che impedisce a tutti i principali di accedere al bucket Amazon S3.
Elimina una policy basata sulle risorse Amazon Simple Queue Service che nega a tutti i principali l'accesso a una coda Amazon SQS.

Attività di gestione degli account

Modifica le impostazioni del tuo Account AWS. Gli Account AWS autonomi che non fanno parte di AWS Organizations, richiedono credenziali root per aggiornare l'indirizzo e-mail, la password dell'utente root e le chiavi di accesso dell'utente root. Altre impostazioni dell'account, ad esempio il nome dell'account, le informazioni di contatto, i contatti alternativi, la preferenza per la valuta di pagamento e le Regioni AWS, non richiedono le credenziali dell'utente root.

Nota
AWS Organizations, con tutte le funzionalità abilitate, può essere utilizzato per gestire centralmente le impostazioni degli account membro dall'account di gestione e dagli account amministratore delegato. Gli utenti IAM o i ruoli IAM autorizzati sia nell'account di gestione che negli account amministratore delegato possono chiudere gli account membro e aggiornare gli indirizzi e-mail principali, i nomi degli account, le informazioni di contatto, i contatti alternativi e le Regioni AWS degli account membro.
Chiudi l'Account AWS. Gli Account AWS autonomi che non fanno parte di AWS Organizations richiedono le credenziali root per la chiusura dell'account. Con AWS Organizations, puoi chiudere gli account membro centralmente dall'account di gestione e dagli account amministratore delegato.
Ripristina le autorizzazioni dell'utente IAM. Se l'unico amministratore IAM revoca accidentalmente le autorizzazioni, sarà possibile effettuare l'accesso come utente root per modificare le policy e ripristinare le autorizzazioni.

Attività di fatturazione

Attivare l'accesso IAM alla console di gestione fatturazione e costi.
Alcune attività di fatturazione sono limitate all'utente root. Per ulteriori informazioni, consulta Gestione di un Account AWS nella Guida per l'utente di AWS Billing.
Visualizzare alcune fatture fiscali. Un utente IAM con l'autorizzazione aws-portal:ViewBilling può visualizzare e scaricare fatture con IVA da AWS Europa ma non da AWS Inc. o Amazon Internet Services Private Limited (AISPL).

AWS GovCloud (US)Task di

Registrazione per AWS GovCloud (US).
Richiedi le chiavi di accesso dell'utente root dell'AWS GovCloud (US) al Supporto AWS.

Attività di Amazon EC2

Registrati come venditore nel marketplace di istanze riservate.

AWS KMSAttività

Nel caso in cui una chiave AWS Key Management Service diventi ingestibile, un amministratore può recuperarla contattando il Supporto; tuttavia, il Supporto risponderà al numero di telefono principale dell'utente root per l'autorizzazione confermando l'OTP del ticket.

Attività di Amazon Mechanical Turk

Collegare il tuo Account AWS all'account richiedente MTurk.

Attività di Amazon Simple Storage Service

Configura un bucket Amazon S3 per abilitare l'autenticazione a più fattori (MFA).
Modifica o elimina una policy del bucket Amazon S3 che rifiuta tutti i principali.

Puoi utilizzare azioni con privilegi per sbloccare un bucket Amazon S3 con una policy di bucket configurata non correttamente. Per informazioni dettagliate, vedi Esegui un'attività con privilegi su un account membro AWS Organizations.

Attività di Amazon Simple Queue Service

Modifica o elimina una policy basata sulle risorse Amazon SQS che rifiuta tutti i principali.

Puoi utilizzare azioni con privilegi per sbloccare una coda Amazon SQS con una policy basata sulle risorse configurata non correttamente. Per informazioni dettagliate, vedi Esegui un'attività con privilegi su un account membro AWS Organizations.

Risorse aggiuntive

Per ulteriori informazioni sull'utente root AWS, consulta le seguenti risorse:

Per assistenza con i problemi relativi agli utenti root, consulta Risoluzione dei problemi con l'utente root.
Per gestire centralmente gli indirizzi e-mail degli utenti root in AWS Organizations, consulta Aggiornamento dell'indirizzo e-mail dell'utente root per un account membro nella Guida per l'utente di AWS Organizations.

I seguenti articoli forniscono ulteriori informazioni sull'utilizzo dell'utente root.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Identità

Centralizzare l'accesso root