根用户最佳实践

妥善保管根用户的密码

为了保护根用户的安全，请妥善保管根用户的凭证，包括密码、访问密钥和MFA验证设备，避免与他人共享，并仅在必需的情况下才使用根用户的凭证。

为根用户设置强密码

建议您为根用户设置高复杂度的强密码，例如：

• 密码长度至少为8位以上字符。
• 至少包含以下字符中的2种：大写字母、小写字母、数字、特殊字符。
• 避免使用账号名或邮箱作为密码。

使用多重身份验证（MFA）保护您的根用户登录安全

因为根用户天然具有账号下所有资源的最大操作权限，所以强烈建议您为根用户绑定MFA验证设备，并开启登录二次验证。

• 若您的账号是未升级华为账号的华为云账号，可以在IAM控制台中“用户 > 根用户（描述为企业管理员的用户）> 安全设置 > 多因素认证设备 > 添加MFA设备”中绑定MFA设备，此时会自动开启登录保护。华为云账号的根用户当前仅支持虚拟MFA和基于FIDO身份验证协议和Windows Hello的安全密钥作为登录二次验证方式。
• 若您的华为云账号已升级为华为账号，将不支持在“安全设置”页面绑定MFA设备，请在“华为账号中心>账号与安全>安全验证>双重验证”中单击“开启”，输入验证信息，开启登录保护。华为账号的根用户当前仅支持手机、邮箱和虚拟MFA作为登录二次验证方式。

使用多人审批进行根用户登录

为了在根用户的密码和MFA以外再增加一层安全防护，建议您将根用户的MFA设备和密码分配给不同的人进行保管，确保根用户每次登录必须经过多人的许可审批。

不给根用户创建访问密钥

账号是您华为云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限。账号中根用户的密码与访问密钥（AK/SK）都是账号的身份凭证，具有同等效力，密码用于登录界面控制台，是您必须具备的身份凭证，访问密钥用于使用开发工具进行编程调用，是第二个身份凭证，为辅助性质，非必须具备。为了提高账号安全性，建议您仅使用密码登录控制台即可，不要给根用户创建第二个身份凭证（访问密钥），避免因访问密钥泄露带来的信息安全风险。

保护组织中组织管理账号和组织成员账号的根用户

当您使用Organizations服务进行多账号管理时，组织管理账号和组织成员账号的根用户也需要进行以上的安全措施进行防护。

在Organizations服务中使用服务控制策略（SCP）限制根用户的行为

您可以在Organizations服务中使用SCP限制根用户的访问，例如拒绝组织中所有成员账号的根用户操作ECS实例，详细信息请参见SCP配置示例。

自动评估根用户设置是否合规

Config服务对根用户合规情况进行检测，您可以使用Config服务检测根用户存在可使用的访问密钥，还可以检测根用户开启MFA认证。

如果您对根用户存在安全方面的疑问，也可以通过官网提交工单或拨打400服务热线（4000-955-988或950808）方式反馈。