參考:https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html
所有AWS賬戶都有用戶憑證(user credentials),這些憑證是訪問賬戶內所有資源的鑰匙。在你的賬戶中,你無法調用任何策略來顯式地拒絕根用戶的訪問。你只能使用AWS組織的SCP( service control policy )對一個屬於某一組織的賬戶(包括根用戶)的權限做出限制。因而我們推薦你刪除根用戶的訪問密鑰,而使用IAM憑證進行AWS的日常操作。
注意:若要使用根賬戶來更改AWS支持計划或關閉賬戶,請使用電子郵箱和密碼登錄AWS控制台。
使用IAM可以安全地控制你賬戶下所有用戶對AWS資源和服務的訪問權限。比如,如果想要獲取管理員級別的權限,則可以創建一個IAM用戶,給予其完全的訪問權限,然后使用其安全憑證來操作AWS。如果想修改或撤銷權限,修改或刪除與這個IAM用戶關聯的訪問策略即可。
若你的多個用戶想要訪問你的AWS賬戶,你可以為每個用戶創建一個安全憑證,並為每個用戶分配相應的資源。
注意:所有IAM用戶的花費最終都會被計算在AWS賬戶所有者的頭上。
了解和區分幾個概念:
user:用戶
account:賬戶
credential:安全憑證
分析以上的官方解釋,應該可以這么理解——一個賬戶下可以有多個用戶,並建議通過創建IAM用戶、創建安全憑證、為每個IAM分配相應的權限的方式來進行日常操作的管理。比如一個公司的團隊可能只有一個AWS賬戶,但團隊中每個開發人員使用自己的IAM用戶進行日常操作,不同開發人員對不同的資源有不同的權限。