本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如何以及何时在 AMS 中使用 root 用户账户
r oot 用户是您 AWS 账户中的超级用户。AMS 监控根用户使用情况。我们建议您仅将 root 用于少数需要它的任务,例如:更改账户设置、激活 AWS Identity and Access Management (IAM) 账单和成本管理权限、更改根密码以及启用多因素身份验证 (MFA)。请参阅《用户指南》中的 “需要根用户凭据的AWS Identity and Access Management 任务”。
注意
在 AMS Advanced 入职期间启用 MFA,明确禁止根用户访问。AMS 管理的账户的根访问权限与其他 AWS 账户不同,对整个 AMS 管理的环境的安全至关重要。配置的 MFA 是虚拟 MFA,使用 AMS 拥有的设备执行。在 AMS 的帮助下配置虚拟 MFA 后,虚拟令牌会立即删除。这样可以确保您和 AMS 都无法以 root 用户身份登录账户。只有在特殊请求时才能重新启用 root 登录(详见下文),AMS 希望仅在绝对必要时才使用此类访问权限。有关 MFA 的信息,请参阅使用多重身份验证保护新账户。
根访问权限总是会触发 AMS 安全和运营团队的响应。AMS 会监控根访问权限的 API 调用,如果检测到此类访问,则会触发警报。
请求根访问权限在 AMS 账户类型之间略有不同。
使用 AMS 高级单账户登陆区进行根访问权限:
如果您有单账户登录区,请联系您的云服务交付经理 (CSDM) 和云架构师 (CAs),告知他们您需要的根访问工作。最好在拟议活动开始前二十四小时发出通知。
使用 AMS Advanced 多账号登陆区进行根访问权限:
对于多账户 landing zone 应用程序、共享服务、安全或网络账户,请使用管理 | 其他 | 其他 (ct-1e1xtak34nx76) 更改类型。包括使用根用户凭证的日期、时间和目的,并安排 RFC,确保在建议的活动开始前二十四小时发出通知。使用您的多账户 landing zone 管理账户提交 RFC。
此外,请提前 CAs 24 小时联系您的 CSDM,告知他们您需要的 root 访问工作。
AMS 操作和对 root 用户使用情况的安全响应:
使用 root 用户帐户时,AMS 会收到警报。如果未计划使用根证书,他们会联系 AMS Security 团队和您的账户团队,以验证这是否是预期的活动。如果不是预期的活动,AMS 会与您的安全团队合作调查问题。
