更新根用户电子邮件地址 - AWS 账户管理
为独立 AWS 账户 更新根用户电子邮件为组织中的任何 AWS 账户 更新根用户电子邮件

更新根用户电子邮件地址

出于各种业务原因,您可能需要更新您 AWS 账户 的根用户电子邮件地址。例如,出于安全性和管理弹性考虑。本主题将引导您完成更新独立账户和成员账户的根用户电子邮件地址的过程。

注意

对 AWS 账户的更改最多可能需要四小时才能传播到任何地方。

您可以根据账户是独立账户还是组织账户的不同,分别更新根用户电子邮件

  • 独立 AWS 账户 - 对于未关联组织的 AWS 账户,您可通过 AWS 管理控制台来更新根用户电子邮件。要了解如何执行此操作,请参阅为独立 AWS 账户 更新根用户电子邮件

  • 组织内的 AWS 账户 - 对于隶属于 AWS 组织的成员账户,管理账户或委派管理员账户中的用户可通过 AWS Organizations 控制台来集中更新成员账户的根用户电子邮件,或通过 AWS CLI 和 SDK 以编程方式进行更新。要了解如何执行此操作,请参阅为组织中的任何 AWS 账户 更新根用户电子邮件

为独立 AWS 账户 更新根用户电子邮件

要为独立 AWS 账户 编辑根用户电子邮件地址,请执行以下步骤。

AWS 管理控制台
注意

您必须以 AWS 账户根用户 登录,这将不需要其他 IAM 权限。您无法以 IAM 用户或角色身份执行这些步骤。

  1. 使用您的 AWS 账户 电子邮件地址和密码以 AWS 账户根用户 身份登录到 AWS 管理控制台

  2. 在控制台的右上角,选择您的账户名称或账号,然后选择 Account(账户)。

  3. 账户页面,点击账户详情旁边的操作按钮,然后选择更新电子邮件地址和密码

  4. 账户详情页面,点击电子邮件地址旁边的编辑按钮。

  5. 在编辑账户电子邮件页面,填写新电子邮件地址确认新电子邮件地址字段,并确认您当前的密码。然后,选择保存并继续no-reply@verify.signin.aws 将向新的电子邮件地址发送验证码。

  6. 编辑账户电子邮件页面,于验证码栏输入您通过电子邮件收到的验证码,然后选择确认更新

    注意

    验证码可能需要最多 5 分钟时间才能到达。如果您在收件箱中未看到此邮件,请检查垃圾邮件文件夹。

AWS CLI & SDKs

AWS CLI 或来自任何一种 AWS 的 API 操作均不支持此任务。您只能使用 AWS 管理控制台执行此任务。

为组织中的任何 AWS 账户 更新根用户电子邮件

要通过 AWS Organizations 控制台编辑组织中任何成员账户的根用户电子邮件地址,请执行以下步骤。

注意

在更新成员账户的根用户电子邮件地址之前,我们建议您了解此操作的影响。有关更多信息,请参阅《AWS Organizations 用户指南》中的通过 AWS Organizations 为成员账户更新根用户电子邮件地址

您也可以在以根用户身份登录后,直接通过 AWS 管理控制台 中的账户页面更新成员账户的根用户电子邮件地址。如需逐步说明,请遵循 为独立 AWS 账户 更新根用户电子邮件 中提供的步骤。

AWS Management Console
备注

  • 要通过管理账户或组织中的委派管理员账户对成员账户执行此过程,必须为账户管理服务启用可信访问

  • 如果账户所在组织与您用来调用此操作的组织不同,则不能使用此过程访问该账户。

要通过 AWS Organizations 控制台来更新成员账户的根用户电子邮件地址

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户身份登录,或在组织的管理账户中以根用户身份登录(不推荐)。

  2. AWS 账户 页面上,选择要为其更新根用户电子邮件地址的成员账户。

  3. 账户详细信息部分中选择操作按钮,然后选择更新电子邮件地址

  4. 电子邮件下,输入根用户的新电子邮件地址,然后选择保存。此操作将向新的电子邮件地址发送一次性密码(OTP)。

    注意

    如果您在等待代码时需要在 Organizations 控制台中关闭此页面,则可以在代码发送后 24 小时内返回并完成 OTP 过程。要执行此操作,请在账户详细信息页面上,选择操作按钮,然后选择完成电子邮件更新

  5. 验证码下,输入在上一步中发送到新电子邮件地址的验证码,然后选择确认。此操作将更新该账户的根用户。

AWS CLI & SDKs

您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作来检索或更新根用户电子邮件地址(也称为主电子邮件地址):

备注

  • 要通过管理账户或组织中的委派管理员账户对成员账户执行这些操作,必须为账户管理服务启用可信访问

  • 如果账户所在组织与您用来调用此操作的组织不同,则访问该账户。

最小权限

对于各个操作,您必须具有映射到此操作的权限:

  • account:GetPrimaryEmail

  • account:StartPrimaryEmailUpdate

  • account:AcceptPrimaryEmailUpdate

如果使用这些单独权限,就可以向某些用户授予仅读取根用户电子邮件地址信息的权限,而向其他用户同时授予读取和写入的权限。

要完成根用户电子邮件地址 更新过程,您必须按照以下示例中展示的顺序一起使用主电子邮件 API。

GetPrimaryEmail

以下示例将检索组织中指定成员账户的根用户电子邮件地址。所用凭证必须来自组织管理账户或账户管理委托管理员账户。

$ aws account get-primary-email --account-id 123456789012
StartPrimaryEmailUpdate

以下示例将启动根用户电子邮件地址更新过程,识别新的电子邮件地址,并向组织中指定成员账户的新电子邮件地址发送一次性密码(OTP)。所用凭证必须来自组织的管理账户或账户管理服务的委派管理员账户。

$ aws account start-primary-email-update --account-id 123456789012 --primary-email john@examplecorp.com
AcceptPrimaryEmailUpdate

以下示例会接受 OTP 代码并将该新电子邮件地址设置到组织中的指定成员账户。所用凭证必须来自组织的管理账户或账户管理服务的委派管理员账户。

$ aws account accept-primary-email-update --account-id 123456789012 --otp 12345678 --primary-email john@examplecorp.com