本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 您 的根使用者最佳實務 AWS 帳戶
<a name="root-user-best-practices"></a>

第一次建立 時 AWS 帳戶，您會從一組預設登入資料開始，完整存取您帳戶中的所有 AWS 資源。此身分稱為 [AWS 帳戶 根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)。強烈建議您不要存取 AWS 帳戶 根使用者，除非您的任務[需要根使用者憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html#root-user-tasks)。您需要保護根使用者憑證和帳戶復原機制，以協助確保不會公開具有高權限的憑證以供未經授權使用。

對於透過 AWS 帳戶 管理的多個 AWS Organizations，我們建議您從成員帳戶移除根使用者憑證，以協助防止未經授權的使用。您可以移除根使用者密碼、存取金鑰、簽署憑證，以及停用和刪除多重要素驗證 (MFA)。成員帳戶無法登入其根使用者，也無法為其根使用者執行密碼復原。如需詳細資訊，請參閱[集中管理成員帳戶的根存取權](id_root-user.md#id_root-user-access-management)。

並非存取根使用者，而是建立日常任務的系統管理使用者。
+ 如果您有新的 AWS 帳戶，請參閱 [設定您的 AWS 帳戶](getting-started-account-iam.md)。
+ 對於透過 AWS 帳戶 管理的多個 AWS Organizations，請參閱[設定 IAM Identity Center 管理使用者的 AWS 帳戶 存取權](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-assign-account-access-admin-user.html)。

然後，您可以使用管理使用者為需要存取 AWS 帳戶中資源的使用者建立其他身分。我們強烈建議您在存取 時，要求使用者使用臨時憑證進行身分驗證 AWS。
+ 對於單一獨立 AWS 帳戶，請使用 在您的帳戶中[IAM 角色](id_roles.md)建立具有特定許可的身分。角色旨在可由任何需要它的使用者擔任。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性憑證。與 IAM 角色不同，[IAM 使用者](id_users.md) 擁有長期憑證，例如密碼和存取金鑰。[最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices-use-cases.html)建議盡可能依賴暫時憑證，而不是建立擁有長期憑證 (例如密碼和存取金鑰) 的 IAM 使用者。
+ 對於透過 AWS 帳戶 管理的多個 AWS Organizations，請使用 IAM Identity Center 人力資源使用者。透過 IAM Identity Center，您可以集中管理這些帳戶中跨 AWS 帳戶 和 許可的使用者。可使用 IAM Identity Center 或外部身分供應商來管理使用者身分。如需詳細資訊，請參閱 *AWS IAM Identity Center 使用者指南*中的[什麼是 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。

**Topics**
+ [保護您的根使用者憑證，以防止未經授權使用](#ru-bp-secure)
+ [使用強式根使用者密碼來協助保護存取](#ru-bp-password)
+ [使用多重要素驗證 (MFA) 保護您的根使用者登入](#ru-bp-mfa)
+ [不要為根使用者建立存取金鑰](#ru-bp-access)
+ [盡可能為根使用者登入使用多人核准](#ru-bp-multi)
+ [使用群組電子郵件地址作為根使用者憑證](#ru-bp-group)
+ [限制存取帳戶復原機制](#ru-bp-recovery)
+ [保護 AWS Organizations 您的帳戶根使用者登入資料](#ru-bp-organizations)
+ [監控存取和用量](#ru-bp-monitor)

## 保護您的根使用者憑證，以防止未經授權使用
<a name="ru-bp-secure"></a>

保護您的根使用者憑證，僅將其用於[需要它們的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)。為了防止未經授權的使用，請勿與任何人共用您的根使用者密碼、MFA、存取金鑰、CloudFront 金鑰配對或簽署憑證，除非此人具有存取根使用者憑證的嚴格業務需求。

請勿將根使用者密碼與依存 AWS 服務 於使用相同密碼存取之帳戶中的工具一起存放。如果您遺失或忘記根使用者密碼，將無法存取這些工具。我們建議您優先考慮彈性，並考慮要求兩個或更多人授權存取儲存位置。應記錄並監控任何對密碼的存取或其儲存位置。

## 使用強式根使用者密碼來協助保護存取
<a name="ru-bp-password"></a>

我們建議您使用高強度且唯一的密碼。具有強密碼產生演算法的密碼管理器之類的工具可協助您實現這些目標。 AWS 要求您的密碼必須符合下列條件：
+ 它必須至少有 8 個字元，最多 128 個字元。
+ 它至少混用 3 種下列類型字元：大寫、小寫、數字和 \$1 @ \$1 \$1 % ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-= 符號。
+ 它不能與 AWS 帳戶 您的姓名或電子郵件地址相同。

如需詳細資訊，請參閱[變更 的密碼 AWS 帳戶根使用者](root-user-password.md)。

## 使用多重要素驗證 (MFA) 保護您的根使用者登入
<a name="ru-bp-mfa"></a>

因為根使用者可以執行特權動作，因此除了將電子郵件地址和密碼作為登入憑證之外，還要將根使用者的 MFA 新增為第二個身分驗證因素。您可以向 AWS 帳戶 根使用者註冊最多八個目前支援 MFA 類型之任何組合的 MFA 裝置。

強烈建議為根使用者憑證啟用多個 MFA 裝置，以在安全策略中提供額外的靈活性和彈性。所有 AWS 帳戶 類型 (獨立帳戶、管理帳戶和成員帳戶) 都要求為其根使用者設定 MFA。如果尚未啟用 MFA，使用者必須在首次嘗試登入以存取 AWS 管理主控台 的 35 天內註冊 MFA。
+ 由第三方供應商提供經 FIDO 認證的硬體安全金鑰。如需詳細資訊，請參閱[啟用 AWS 帳戶 根使用者的 FIDO 安全金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-fido-mfa-for-root.html)。
+ 一種在以時間為基礎的一次性密碼 (TOTP) 演算法的基礎上產生六位數字程式碼的硬體裝置。如需詳細資訊，請參閱[為 AWS 帳戶 根使用者啟用硬體 TOTP 字符](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-hw-mfa-for-root.html)。
+ 在手機或其他裝置上執行並模擬實體裝置的虛擬驗證器應用程式。如需詳細資訊，請參閱[為您的 AWS 帳戶 根使用者啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

## 不要為根使用者建立存取金鑰
<a name="ru-bp-access"></a>

存取金鑰可讓您在命令列界面 (AWS CLI) 中執行 AWS 命令，或從其中一個 AWS SDKs 使用 API 操作。我們強烈建議您不要為根使用者建立存取金鑰，因為根使用者擁有帳戶中所有 AWS 服務 和資源的完整存取權，包括帳單資訊。

由於只有少數任務需要根使用者，而且您通常不常執行這些任務，因此我們建議您登入 AWS 管理主控台 以執行根使用者任務。對於程式設計存取，而不是為根使用者建立存取金鑰，請使用 `aws login`命令搭配您的根憑證來驗證 AWS CLI 和 SDKs。此方法提供暫時、自動輪換的登入資料，可增強您的安全狀態，同時無需管理長期存取金鑰。在建立存取金鑰之前，請檢閱 [長期存取金鑰的替代方案](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys)。

## 盡可能為根使用者登入使用多人核准
<a name="ru-bp-multi"></a>

請考慮使用多人核准，以確保沒有任何人可以同時存取根使用者的 MFA 和密碼。有些公司會設定可存取密碼的管理員群組，以及另一個可存取 MFA 的管理員群組，藉此增加額外的安全性層級。每個群組必須各有一位成員共同作為根使用者登入。

## 使用群組電子郵件地址作為根使用者憑證
<a name="ru-bp-group"></a>

使用由企業管理的電子郵件地址，直接將收到的訊息轉寄給使用者群組。如果 AWS 必須聯絡帳戶的擁有者，此方法可以降低延遲回應的風險，即使個人正在休假、生病或已離開公司。用於根使用者的電子郵件地址不得用於其他目的。

## 限制存取帳戶復原機制
<a name="ru-bp-recovery"></a>

請確定您制定程序來管理根使用者憑證復原機制，以便在緊急情況下需要存取該憑證，例如接管您的管理帳戶。
+ 確保您有權存取根使用者電子郵件收件匣，以便可以[重設遺失或忘記的根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)。
+ 如果 AWS 帳戶 根使用者的 MFA 遺失、損壞或無法運作，您可以使用向相同根使用者憑證註冊的另一個 MFA 登入。如果您無法存取所有 MFA，則需要用於註冊賬戶的最新且可存取的電話號碼和電子郵件，以便復原您的 MFA。如需詳細資訊，請參閱[復原根使用者 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_lost-or-broken.html#root-mfa-lost-or-broken)。
+ 如果您選擇不儲存根使用者密碼和 MFA，則可以使用帳戶中註冊的電話號碼作為復原根使用者憑證的替代方法。確保您可以存取聯絡人電話號碼，保持更新此電話號碼，並且限制可以存取以管理電話號碼的使用者。

應沒有任何人有權同時存取電子郵件收件匣和電話號碼，因為兩者都是復原根使用者密碼的驗證渠道。務必安排兩組人員管理這些渠道。一個群組可以存取您的主要電子郵件地址，另一個群組可以存取主要電話號碼，從而復原以根使用者身分存取您帳戶的許可。

## 保護 AWS Organizations 您的帳戶根使用者登入資料
<a name="ru-bp-organizations"></a>

當您使用 移至多帳戶策略時 AWS Organizations，每個 AWS 帳戶 都有自己的根使用者憑證，您需要保護這些憑證。您用來建立組織的帳戶是**管理帳戶**，組織中的其餘帳戶則為**成員帳戶**。

### 保護管理帳戶的根使用者憑證
<a name="ru-bp-management"></a>

AWS 要求您為組織的管理帳戶的根使用者註冊 MFA。MFA 註冊必須在首次登入嘗試期間或 35 天寬限期內完成。如果未在此時間內啟用 MFA，您需要先完成註冊才能存取 AWS 管理主控台。如需詳細資訊，請參閱[的多重要素驗證 AWS 帳戶根使用者](enable-mfa-for-root.md)。

### 保護成員帳戶的根使用者憑證
<a name="ru-bp-member"></a>

如果您使用 AWS Organizations 管理多個帳戶，您可以採取兩種策略來保護 中的根使用者存取 AWS Organizations。
+ 集中化根存取權並從成員帳戶中移除根使用者憑證。移除根使用者憑證、存取金鑰、簽署憑證，以及停用和刪除多重要素驗證 (MFA)。使用此策略時，成員帳戶無法登入其根使用者，也無法為其根使用者執行密碼復原。如需詳細資訊，請參閱[集中管理成員帳戶的根存取權](id_root-user.md#id_root-user-access-management)。
+ 使用 MFA 保護 AWS Organizations 您帳戶的根使用者憑證，以增強帳戶安全性。如需詳細資訊，請參閱[的多重要素驗證 AWS 帳戶根使用者](enable-mfa-for-root.md)。

如需詳細資訊，請參閱 *AWS Organizations User Guide* 中的 [Accessing member accounts in your organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html)。

### AWS Organizations 使用服務控制政策 (SCP) 在 中設定預防性安全控制
<a name="ru-bp-scp"></a>

如果組織中的成員帳戶已啟用根使用者憑證，您可以套用 SCP 來限制對成員帳戶根使用者的存取。拒絕成員帳戶中的所有根使用者動作 (除了某些僅限根的動作)，這樣有助於防止未經授權的存取。有關詳細資訊，請參閱[使用 SCP 來限制成員帳戶中根使用者可執行的動作](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html#bp_member-acct_use-scp)。

## 監控存取和用量
<a name="ru-bp-monitor"></a>

我們建議您使用目前的追蹤機制來監控、警示和報告根使用者憑證的登入和使用情況，包括宣告根使用者登入和用量的警示。下列服務可協助確保追蹤根使用者憑證用量，並且執行安全性檢查，以防止未經授權的使用。

**注意**  
CloudTrail 會記錄根使用者和特權根使用者工作階段的不同登入事件。這些特權工作階段允許在您組織的成員帳戶中執行需要根使用者憑證的任務。您可以使用登入事件來識別管理帳戶或使用 [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html) 的委派管理員所採取的動作。如需詳細資訊，請參閱[在 CloudTrail 中追蹤特權任務](cloudtrail-track-privileged-tasks.md)。
+ 如果您希望收到有關帳戶中根使用者登入活動的通知，可以利用 Amazon CloudWatch 建立事件規則，以偵測何時使用根使用者憑證，並向安全管理員觸發通知。如需詳細資訊，請參閱[監控和通知 AWS 帳戶 根使用者活動](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/)。
+ 如果您想要設定通知以提醒您核准的根使用者動作，可以利用 Amazon EventBridge 和 Amazon SNS 撰寫 EventBridge 規則，以追蹤根使用者對特定動作的使用情況，並使用 Amazon SNS 主題通知您。如需範例，請參閱[建立 Amazon S3 物件時傳送通知](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-s3-object-created-tutorial.html)。
+ 如果您已使用 GuardDuty 做為威脅偵測服務，可以[擴展其功能](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage)，以便在帳戶中使用根使用者憑證時通知您。

此警示應包含但不得限於根使用者的電子郵件地址。制定如何回應警示的適當程序，從而收到根使用者存取警示的人員可了解如何驗證預期的根使用者存取權，以及如果他們認為安全事件正在進行中該如何上報。如需如何設定警示的範例，請參閱[監控和通知 AWS 帳戶 根使用者活動](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/)。

### 評估根使用者 MFA 合規
<a name="ru-bp-monitor-eval"></a>

下列服務可協助評估根使用者憑證的 MFA 合規性。

**如果遵循移除根使用者憑證的最佳實務，則 MFA 相關規則會傳回不合規。**  
建議從組織的成員帳戶中移除根使用者憑證，以協助防止未經授權的使用。在移除根使用者憑證 (包括 MFA) 之後，這些成員帳戶將會評估為**不適用**。
+ AWS Config 提供規則來監控根使用者最佳實務的合規性。您可以使用 AWS Config 受管規則來協助您[強制執行根使用者憑證的 MFA](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)。 AWS Config 也可以[識別根使用者的存取金鑰](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)。
+ Security Hub CSPM 為您提供 中安全狀態的全方位檢視， AWS 並協助您根據安全產業標準和最佳實務評估您的 AWS 環境，例如在根使用者上擁有 MFA，而沒有根使用者存取金鑰。如需可用規則的詳細資訊，請參閱 *Security Hub CSPM 使用者指南*中的[AWS Identity and Access Management 控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-4)。
+ Trusted Advisor 提供安全檢查，讓您知道根使用者帳戶上是否未啟用 MFA。如需詳細資訊，請參閱 *AWS 支援使用者指南*中的[根帳戶上的 MFA](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#mfa-root-account)。

如果您需要回報帳戶的安全性問題，請參閱[回報可疑電子郵件](https://aws.amazon.com/security/report-suspicious-emails/)或[弱點回報](https://aws.amazon.com/security/vulnerability-reporting/)。或者，您可以[聯絡 AWS](https://aws.amazon.com/contact-us/) 以取得協助和其他指導。