本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS 账户 管理员安全最佳实践 如果您是账户管理员并创建了新的账户 AWS 账户,我们建议您采取以下步骤来帮助您的用户在登录时遵循 AWS 安全最佳实践。 1. 以根用户身份登录以[启用多重身份验证 (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)),[并在 IAM Identity Center 中创建 AWS 管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)用户(如果您尚未这样做)。然后,[保护您的根用户凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) ,请勿将其用于日常任务。 1. 以 AWS 账户 管理员身份登录并设置以下身份: + 为其他[人员](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)创建[最低权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)用户。 + [为工作负载设置临时凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-workloads-use-roles)。 + 仅为[需要长期凭证的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)创建访问密钥。 1. 添加权限以向这些身份授予访问权限。您可以[开始使用 AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies),然后转向[最低权限权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。 + 向 [AWS IAM 身份中心( AWS 单点登录的继任者)用户添加权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)。 + 向用于工作负载的[ IAM 角色添加基于身份的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。 + 对于需要长期凭证的使用案例,[向 IAM 用户添加基于身份的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。 + 有关 IAM 用户的更多信息,请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。 1. 保存和共享有关 [登录 AWS 管理控制台](how-to-sign-in.md) 的信息。这些信息不尽相同,具体取决于您创建的身份类型。 1. 请及时更新根用户电子邮件地址和主要账户联系人电话号码,以确保您可以收到与账户和安全相关的重要通知。 + [修改 AWS 账户根用户的账户名称、电子邮件地址或密码](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)。 + [访问或更新主要账户联系人](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html)。 1. 回顾 [IAM 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html),了解其他身份和访问管理最佳实践。