# 集中成员账户的根访问
<a name="id_root-enable-root-access"></a>

根用户凭证是分配给具有对账户中所有 AWS 服务和资源的完全访问权限的每个 AWS 账户的初始凭证。启用 AWS Organizations 后，您可以将所有 AWS 账户合并到一个组织中进行集中管理。每个成员账户都有自己的根用户，该用户拥有在成员账户中执行任何操作的默认权限。建议您集中保护使用 AWS Organizations 管理的 AWS 账户的根用户凭证，以防止大规模的根用户凭证恢复和访问。

集中根访问后，您可以选择从组织的成员账户中删除根用户凭证。您可以移除根用户密码、访问密钥、签名证书，并停用多重身份验证（MFA）。默认情况下，您在 AWS Organizations 中创建的新账户不具有根用户凭证。成员账户不能登录到他们的根用户或为其根用户执行密码恢复。

**注意**  
有些[需要根用户凭证的任务](id_root-user.md#root-user-tasks)可以由 IAM 的管理账户或委托管理员来执行，而有些任务只能在您以账户根用户登录时执行。  
如果需要恢复成员账户的根用户凭证来执行其中一项任务，请遵照 [执行特权任务](id_root-user-privileged-task.md) 中的步骤，然后选择**允许找回密码**。然后有权访问该成员账户的根用户电子邮件收件箱的人可以按照步骤[重置根用户密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)，并登录到成员账户根用户。  
 建议您在完成需要访问根用户的任务后删除根用户凭证。

## 先决条件
<a name="enable-root-access-management_prerequisite"></a>

在集中根访问之前，必须为账户配置以下设置：
+ 您必须具有以下 IAM 权限：
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountSummary`
  + `iam:GetLoginProfile`
  + `iam:GetUser`
  + `iam:ListAccessKeys`
  + `iam:ListMFADevices`
  + `iam:ListSigningCertificates`
  + `sts:AssumeRoot`
**注意**  
要审计成员账户的根用户凭证状态时，可在对 AWS Organizations 成员账户执行特权任务时使用 [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS 托管策略缩小权限范围，或使用任何具有 `iam:GetAccountSummary` 访问权限的策略。  
要生成根用户凭证信息报告，其他策略只需要执行 `iam:GetAccountSummary` 操作即可生成相同的输出。您还可以列出或获取个人根用户凭证信息，包括：  
是否有根用户密码
是否有根用户访问密钥以及上次使用该密钥的时间
如果根用户关联了签名证书
根用户关联的 MFA 设备
统一的根用户凭证状态列表
+ 必须在 [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html) 中管理您的 AWS 账户。
+ 您必须具有以下权限才能在组织中启用此功能：
  + `iam:EnableOrganizationsRootCredentialsManagement`
  + `iam:EnableOrganizationsRootSessions`
  + `iam:ListOrganizationsFeatures`
  + `organizations:EnableAwsServiceAccess`
  + `organizations:ListAccountsForParent`
  + `organizations:RegisterDelegatedAdministrator` 
+ 为确保获得最佳控制台功能，建议启用以下附加权限：
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAWSServiceAccessForOrganization`
  + `organizations:ListDelegatedAdministrators`
  + `organizations:ListOrganizationalUnitsForParent`
  + `organizations:ListParents`
  + `organizations:ListTagsForResource`

## 启用集中的根访问（控制台）
<a name="enable-root-access-console"></a>

**要在 AWS 管理控制台中为成员账户启用此功能**

1. 登录 AWS 管理控制台，然后通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在控制台的导航窗格中，选择**根访问权限管理**，然后选择**启用**。
**注意**  
如果您看到**已禁用根访问权限管理**，请在 AWS Identity and Access Management 中启用 AWS Organizations 的可信访问。有关详细信息，请参阅《AWS Organizations 用户指南》**中的 [AWS IAM 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html)。

1. 在“要启用的功能”部分，选择要启用的功能。
   + 选择**根凭证管理**，以允许管理账户和 IAM 的委派管理员删除成员账户的根用户凭证。您必须在成员账户中启用特权根操作，以允许成员账户在删除其根用户凭证后恢复这些凭证。
   + 选择**成员账户中的特权根操作**，以允许管理账户和 IAM 的委派管理员执行某些需要根用户凭证的任务。

1. （可选）输入获得授权管理根用户访问并对成员账户采取特权措施的**委派管理员**的账户 ID。建议使用用于安全或管理目的的账户。

1. 请选择**启用**。

## 启用集中的根访问（AWS CLI）
<a name="enable-root-access-cli"></a>

**要从 AWS Command Line Interface（AWS CLI）启用集中式根用户访问权限**

1. 如果您尚未在 AWS Organizations 中启用 AWS Identity and Access Management 的可信访问权限，则请使用以下命令：[aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)。

1. 使用以下命令允许管理账户和委派管理员删除成员账户的根用户凭证：[aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html)。

1. 使用以下命令允许管理账户和委派管理员执行需要根用户凭证的特定任务：[aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)。

1. （可选）使用以下命令注册委派管理员：[aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html)。

   以下示例将账户 111111111111 分配为 IAM 服务的委派管理员。

   ```
   aws organizations register-delegated-administrator 
   --service-principal iam.amazonaws.com
   --account-id 111111111111
   ```

## 启用集中的根访问（AWS API）
<a name="enable-root-access-api"></a>

**要从 AWS API 启用集中式根用户访问权限**

1. 如果您尚未在 AWS Organizations 中启用 AWS Identity and Access Management 的可信访问权限，则请使用以下命令：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)。

1. 使用以下命令允许管理账户和委派管理员删除成员账户的根用户凭证：[EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html)。

1. 使用以下命令允许管理账户和委派管理员执行需要根用户凭证的特定任务：[EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)。

1. （可选）使用以下命令注册委派管理员：[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)。

## 后续步骤
<a name="enable-root-access_next-steps"></a>

集中保护组织中成员账户的特权凭证后，请参阅[执行特权任务](id_root-user-privileged-task.md)以对成员账户采取特权操作。