本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 AMS 中使用根使用者帳戶的方式和時間
根使用者是您帳戶中的超級使用者 AWS 。AMS 會監控根用量。我們建議您僅將根用於需要它的一些任務,例如:變更您的帳戶設定、啟用 AWS Identity and Access Management (IAM) 對帳單和成本管理的存取、變更根密碼,以及啟用多重要素驗證 (MFA)。請參閱AWS Identity and Access Management 《 使用者指南》中的需要根使用者憑證的任務。
注意
MFA 會在 AMS 進階加入期間啟用,以特別不允許根使用者存取。AMS 受管帳戶中的根存取權與其他 AWS 帳戶不同,對於整個 AMS 受管環境的安全性至關重要。設定的 MFA 是虛擬 MFA,並使用 AMS 擁有的裝置執行。在 AMS 的協助下設定虛擬 MFA 之後,虛擬字符會立即刪除。這可確保您和 AMS 都無法以根使用者身分登入帳戶。根登入只能在特殊請求上重新啟用 (接下來說明),且 AMS 預期只有在絕對必要時才能使用此類存取。如需有關 MFA 的資訊,請參閱使用多重要素驗證保護新帳戶。
根存取一律會觸發 AMS Security and Operations 團隊回應。AMS 會監控 API 呼叫的根存取,並在偵測到此類存取時觸發警示。
AMS 帳戶類型之間的請求根存取權略有不同。
使用 AMS 進階單一帳戶登陸區域的根存取權:
如果您有單一帳戶登陸區域,請聯絡您的雲端服務交付管理員 (CSDM) 和雲端架構師 (CAs),告知他們您需要的根存取工作。最好在提議的活動之前 24 小時發出通知。
使用 AMS 進階多帳戶登陸區域的根存取權:
對於多帳戶登陸區域應用程式、共享服務、安全或聯網帳戶,請使用 Management | Other | Other (ct-1e1xtak34nx76) 變更類型。包含日期、時間和使用根使用者登入資料的目的,並排定 RFC,以確保在提議的活動前 24 小時發出通知。使用您的多帳戶登陸區域管理帳戶來提交 RFC。
此外,請提前 24 小時聯絡您的 CSDM 和 CAs,告知他們您需要的根存取工作。
根用量的 AMS 操作和安全性回應:
使用根使用者帳戶時,AMS 會收到警示。如果根登入資料使用量未排定,他們會聯絡 AMS 安全團隊和您的客戶團隊,以確認是否為預期的活動。如果不是預期的活動,AMS 會與您的安全團隊一起調查問題。
