本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 集中成員帳戶的根存取權
<a name="id_root-enable-root-access"></a>

根使用者登入資料是指派給每個 AWS 帳戶 的初始登入資料，可完整存取帳戶中的所有 AWS 服務和資源。啟用 時 AWS Organizations，您可以將所有 AWS 帳戶合併為組織以進行集中管理。每個成員帳戶都有自己的根使用者，具有在成員帳戶中執行任何動作的預設許可。我們建議您集中保護使用 管理的 AWS 帳戶 根使用者憑證 AWS Organizations ，以防止根使用者憑證大規模復原和存取。

集中根存取權後，您可以選擇從組織的成員帳戶中刪除根使用者憑證。您可以移除根使用者密碼、存取金鑰、簽署憑證，以及停用多重要素驗證 (MFA)。依預設，您在 AWS Organizations 中建立的新帳戶沒有根使用者憑證。成員帳戶無法登入其根使用者，也無法為其根使用者執行密碼復原。

**注意**  
雖然某些[需要根使用者憑證的任務](id_root-user.md#root-user-tasks)可由管理帳戶或 IAM 的委派管理員執行，但某些任務只能以帳戶的根使用者身分登入才能執行。  
如果您需要復原成員帳戶的根使用者憑證才能執行這些任務之一，請遵循[執行特權任務](id_root-user-privileged-task.md)中的步驟，然後選取**允許密碼復原**。之後，有權存取成員帳戶根使用者電子郵件收件匣的人員可以遵循步驟[重設根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)，並登入成員帳戶根使用者。  
 我們建議您在完成需要存取根使用者的任務後，刪除根使用者憑證。

## 先決條件
<a name="enable-root-access-management_prerequisite"></a>

在集中根存取權之前，您必須使用下列設定設定帳戶：
+ 您必須具備下列 IAM 許可：
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountSummary`
  + `iam:GetLoginProfile`
  + `iam:GetUser`
  + `iam:ListAccessKeys`
  + `iam:ListMFADevices`
  + `iam:ListSigningCertificates`
  + `sts:AssumeRoot`
**注意**  
若要稽核成員帳戶的根使用者登入資料狀態，您可以在 AWS Organizations 成員帳戶上執行特殊權限任務時，使用 [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS 受管政策來縮小許可範圍，或使用可存取 的任何政策`iam:GetAccountSummary`。  
若要產生根使用者憑證資訊報告，其他政策只需 `iam:GetAccountSummary` 動作即可產生相同的輸出。您也可以列出或取得個別根使用者憑證資訊，包括：  
根使用者密碼是否存在
根使用者存取金鑰是否存在以及上次使用時間
根使用者是否具有相關聯的簽署憑證
根使用者關聯的 MFA 裝置
合併的根使用者憑證狀態清單
+ 您必須在 AWS 帳戶 中管理 [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)。
+ 您必須具有下列許可，以在組織中啟用此功能：
  + `iam:EnableOrganizationsRootCredentialsManagement`
  + `iam:EnableOrganizationsRootSessions`
  + `iam:ListOrganizationsFeatures`
  + `organizations:EnableAwsServiceAccess`
  + `organizations:ListAccountsForParent`
  + `organizations:RegisterDelegatedAdministrator` 
+ 為確保最佳的主控台功能，建議啟用下列其他許可：
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAWSServiceAccessForOrganization`
  + `organizations:ListDelegatedAdministrators`
  + `organizations:ListOrganizationalUnitsForParent`
  + `organizations:ListParents`
  + `organizations:ListTagsForResource`

## 啟用集中式根存取權 (主控台)
<a name="enable-root-access-console"></a>

**若要在 中為成員帳戶啟用此功能 AWS 管理主控台**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在主控台的導覽窗格中，選擇**根存取權管理**，然後選取**啟用**。
**注意**  
如果您看到**根存取管理已停用**，請啟用 AWS Identity and Access Management 中的受信任存取 AWS Organizations。如需詳細資訊，請參閱《AWS Organizations 使用者指南》**中的 [AWS IAM 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html)。

1. 在「要啟用的功能」區段中，選擇要啟用的功能。
   + 選取**根憑證管理**，以允許管理帳戶和 IAM 的委派管理員刪除成員帳戶的根使用者憑證。您必須啟用「成員帳戶中的特權根動作」，以允許成員帳戶在根使用者憑證刪除後復原其根使用者憑證。
   + 選取**成員帳戶中的特權根動作**，以允許管理帳戶和 IAM 的委派管理員執行需要根使用者憑證的特定任務。

1. (選用) 輸入授權管理根使用者存取權並對成員帳戶採取特權動作的**委派管理員**的帳戶 ID。我們建議使用用於安全或管理目的的帳戶。

1. 選擇**啟用**。

## 啟用集中式根存取權 (AWS CLI)
<a name="enable-root-access-cli"></a>

**從 AWS Command Line Interface (AWS CLI) 啟用集中式根存取**

1. 如果您尚未在 AWS Identity and Access Management 中啟用 的信任存取 AWS Organizations，請使用下列命令：[aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)。

1. 使用下列命令，允許管理帳戶和委派管理員刪除成員帳戶的根使用者憑證：[aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html)。

1. 使用下列命令，允許管理帳戶和委派管理員執行需要根使用者憑證的特定任務：[aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)。

1. (選用) 使用下列命令來註冊委派管理員：[aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html)。

   下列範例會將帳戶 111111111111 指派為 IAM 服務的委派管理員。

   ```
   aws organizations register-delegated-administrator 
   --service-principal iam.amazonaws.com
   --account-id 111111111111
   ```

## 啟用集中式根存取 (AWS API)
<a name="enable-root-access-api"></a>

**從 AWS API 啟用集中式根存取**

1. 如果您尚未在 AWS Identity and Access Management 中啟用 的受信任存取 AWS Organizations，請使用下列命令：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)。

1. 使用下列命令，允許管理帳戶和委派管理員刪除成員帳戶的根使用者憑證：[EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html)。

1. 使用下列命令，允許管理帳戶和委派管理員執行需要根使用者憑證的特定任務：[EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)。

1. (選用) 使用下列命令來註冊委派管理員：[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)。

## 後續步驟
<a name="enable-root-access_next-steps"></a>

集中保護組織中成員帳戶的特權憑證後，請參閱[執行特權任務](id_root-user-privileged-task.md)以對成員帳戶採取特權動作。