Gestion centralisée de l’accès racine pour les comptes membres Tâches nécessitant les informations d'identification de l'utilisateur root Ressources supplémentaires

Utilisateur racine d'un compte AWS

Lorsque vous créez un compte Amazon Web Services (AWS), vous commencez avec une seule identité de connexion disposant d'un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée utilisateur racine du compte AWS. L’adresse e-mail et le mot de passe que vous avez utilisés pour créer votre Compte AWS sont les identifiants que vous utilisez pour vous connecter en tant qu’utilisateur racine.

Utilisez l’utilisateur racine pour effectuer les tâches qui nécessitent des autorisations de niveau racine. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter Tâches nécessitant les informations d'identification de l'utilisateur root.
Suivez les Meilleures pratiques d’utilisateur racine pour votre Compte AWS.
Si vous ne parvenez pas à vous connecter, consultez Se connecter à l’AWS Management Console.

Important

Nous vous recommandons vivement de ne pas utiliser l'utilisateur root pour vos tâches quotidiennes et de suivre les bonnes pratiques de l'utilisateur root pour votre Compte AWS. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter Tâches nécessitant les informations d'identification de l'utilisateur root.

Bien que l’authentification multifactorielle (MFA) soit appliquée par défaut pour les utilisateurs racine, elle nécessite une action de la part du client pour être ajoutée lors de la création initiale du compte ou à la demande lors de la connexion. Pour de plus amples informations sur l’utilisation de l’authentification multifactorielle (MFA) pour protéger l’utilisateur racine, veuillez consulter Authentification multifactorielle pour Utilisateur racine d'un compte AWS.

Gestion centralisée de l’accès racine pour les comptes membres

Pour vous aider à gérer les informations d’identification à grande échelle, vous pouvez sécuriser de manière centralisée l’accès aux informations d’identification des utilisateurs racine pour les comptes membres dans AWS Organizations. Lorsque vous activez AWS Organizations, vous regroupez tous vos comptes AWS au sein d’une organisation pour une gestion centralisée. La centralisation de l’accès racine vous permet de supprimer les informations d’identification de l’utilisateur racine et d’effectuer les tâches privilégiées suivantes sur les comptes membres.

Suppression des informations d’identification de l’utilisateur racine des comptes membres: Après avoir centralisé l’accès racine pour les comptes membres, vous pouvez choisir de supprimer les informations d’identification de l’utilisateur racine des comptes membres de votre Organizations. Vous pouvez supprimer le mot de passe d’utilisateur racine, les clés d’accès, les certificats de signature, ainsi que désactiver l’authentification multifactorielle (MFA). Les nouveaux comptes que vous créez dans Organizations ne disposent par défaut d’aucunes informations d’identification d’utilisateur racine. Les comptes membres ne peuvent pas se connecter à leur utilisateur racine ni récupérer le mot de passe de leur utilisateur racine si la récupération de compte n’est pas activée.
Effectuez les tâches privilégiées nécessitant les informations d’identification de l’utilisateur racine: Certaines tâches ne peuvent être effectuées que lorsque vous vous connectez en tant qu’utilisateur racine d’un compte. Certaines d’entre elles Tâches nécessitant les informations d'identification de l'utilisateur root peuvent être effectuées par le compte de gestion ou par l’administrateur délégué d’IAM. Pour en savoir plus sur les actions privilégiées sur les comptes membres, consultez Exécuter une tâche privilégiée.
Activer la restauration du compte de l’utilisateur racine: Si vous devez récupérer les informations d’identification de l’utilisateur racine pour un compte membre, le compte de gestion des Organizations ou l’administrateur délégué peut exécuter la tâche privilégiée Autoriser la récupération du mot de passe. La personne ayant accès à la boîte de réception de l’utilisateur racine pour le compte membre peut réinitialiser le mot de passe de l’utilisateur racine pour récupérer les informations d’identification de l’utilisateur racine. Nous vous recommandons de supprimer les informations d’identification de l’utilisateur racine une fois que vous avez terminé la tâche nécessitant l’accès à l’utilisateur racine.

Tâches nécessitant les informations d'identification de l'utilisateur root

Nous vous recommandons de configurer un utilisateur administratif dans AWS IAM Identity Center pour effectuer les tâches quotidiennes et accéder aux ressources AWS. Toutefois, vous ne pouvez effectuer les tâches énumérées ci-dessous que si vous vous connectez en tant qu'utilisateur root d'un compte.

Pour simplifier la gestion des informations d’identification des utilisateurs racine privilégiés à travers les comptes membres dans AWS Organizations, vous pouvez activer l’accès racine centralisé pour vous aider à sécuriser de manière centralisée l’accès hautement privilégié à vos Comptes AWS. Gestion centralisée de l’accès racine pour les comptes membres vous permet de supprimer de manière centralisée et d’empêcher la récupération des informations d’identification des utilisateurs racine à long terme, améliorant ainsi la sécurité des comptes dans votre organisation. Après avoir activé cette fonctionnalité, vous pouvez effectuer les tâches privilégiées suivantes sur les comptes membres.

Supprimez les informations d’identification de l’utilisateur racine du compte membre pour empêcher la restauration du compte de l’utilisateur racine. Vous pouvez également autoriser la récupération du mot de passe pour récupérer les informations d’identification de l’utilisateur racine pour un compte membre.
Supprimez une politique de compartiment mal configurée qui empêche tous les principaux d’accéder à un compartiment Amazon S3.
Supprimez une politique Amazon Simple Queue Service qui refuse à tous les principaux l’accès à une file d’attente Amazon SQS.

Tâches de gestion de compte

Modifiez vos paramètres Compte AWS. Les comptes Comptes AWS qui ne font pas partie d’AWS Organizations nécessitent des informations d’identification racine pour mettre à jour l’adresse e-mail, le mot de passe utilisateur racine et les clés d’accès utilisateur racine. Les autres paramètres de compte, tels que le nom du compte, les informations de contact, les contacts alternatifs, les préférences de devise de paiement et les Régions AWS, ne nécessitent pas les informations d’identification de l’utilisateur racine.

Note
AWS Organizations, avec toutes les fonctionnalités activées, peut être utilisé pour gérer les paramètres des comptes membres de manière centralisée à partir du compte de gestion et des comptes d’administration délégués. Les utilisateurs IAM autorisés ou les rôles IAM dans le compte de gestion et les comptes d’administration délégués peuvent fermer les comptes des membres et mettre à jour les adresses e-mail principales, les noms de compte, les coordonnées, les contacts alternatifs et les Régions AWS des comptes membres.
Fermer votre Compte AWS. Les Comptes AWS autonomes qui ne font pas partie d’AWS Organizations nécessitent des informations d’identification racine pour fermer le compte. Avec AWS Organizations, vous pouvez fermer les comptes membres de manière centralisée à partir du compte de gestion et des comptes d’administration délégués.
Restaurer les autorisations de l'utilisateur IAM. Si un utilisateur IAM révoque accidentellement ses propres autorisations, vous pouvez vous connecter en tant qu'utilisateur root pour modifier les politiques et restaurer ces autorisations.

Tâches de facturation

Activer l'accès IAM à la console de gestion de la facturation et des coûts.
Certaines tâches de facturation sont limitées à l’utilisateur racine. Pour plus d’informations, consultez Gestion d’un Compte AWS dans le Guide de l’utilisateur AWS Billing.
Afficher certaines factures fiscales. Un utilisateur IAM disposant de l'autorisation aws-portal:ViewBilling peut afficher et télécharger les factures de TVA depuis AWS Europe, mais pas depuis AWS Inc ou Amazon Internet Services Private Limited (AISPL).

AWS GovCloud (US)Tâches

Inscrivez-vous à AWS GovCloud (US).
Demander les clés d'accès de l'utilisateur root du compte AWS GovCloud (US) à AWS Support.

Tâches Amazon EC2

Inscrit en tant que vendeur sur le Marketplace des instances réservées.

AWS KMSTâche

Dans le cas où une clé AWS Key Management Service devient ingérable, un administrateur peut la récupérer en contactant Support ; cependant, Support répond au numéro de téléphone principal de votre utilisateur racine pour obtenir une autorisation en confirmant l’OTP du ticket.

Tâche Amazon Mechanical Turk

Liez votre Compte AWS à votre compte MTurk Requester.

Tâches Amazon Simple Storage Service

Configurer un compartiment Amazon S3 pour activer MFA (authentification multifactorielle).
Modifier ou supprimer une politique de compartiment Amazon S3 qui refuse tous les principaux.

Vous pouvez utiliser des actions privilégiées pour déverrouiller un compartiment Amazon S3 dont la politique de compartiment est mal configurée. Pour en savoir plus, consultez Réaliser une tâche privilégiée sur un compte membre AWS Organizations.

Tâche Amazon Simple Queue Service

Modifier ou supprimer une politique de ressources Amazon SQS qui refuse tous les principaux.

Vous pouvez utiliser des actions privilégiées pour déverrouiller une file d’attente Amazon SQS dont la politique basée sur les ressources est mal configurée. Pour en savoir plus, consultez Réaliser une tâche privilégiée sur un compte membre AWS Organizations.

Ressources supplémentaires

Pour plus d’informations sur l’utilisateur racine AWS, consultez les ressources suivantes :

Pour obtenir de l’aide sur les problèmes liés aux utilisateurs racine, consultez Résolution de problèmes relatifs à l’utilisateur racine.
Pour gérer de manière centralisée les adresses e-mail des utilisateurs racine dans les AWS Organizations, consultez Mise à jour de l’adresse e-mail de l’utilisateur racine pour un compte membre dans le Guide de l’utilisateur AWS Organizations.

Les articles suivants fournissent des informations supplémentaires sur l'utilisation de l'utilisateur root.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Identités

Centralisation de l’accès racine