启用 MFA 时转移 AWS 根账户访问权限
Transferring AWS Root Account access when MFA is enabled
我已经管理一个 AWS 账户大约一年了。典型的“最佳实践”安全设置:
- 1 个根帐户
- 多个非 Root 帐户,包括我每天使用的帐户
- 所有使用 MFA 的帐户(我个人使用 Google 身份验证器应用程序)
我现在想将整个 AWS 账户(根账户和所有账户)的 "ownership" 转移给其他人。虽然我当然可以给他们用户名 + 密码以 Root 身份登录,但他们也需要 MFA 设置。
我能想到的唯一处理方法是:
- 在 Root 帐户上禁用 MFA
- 为他们提供 Root 帐户的登录信息
- 相信他们会尽快重新启用 MFA
AWS web控制台有没有更好的解决方案?我什至不确定它是否 可能 在设置后禁用帐户上的 MFA(更不用说 Root 了)...
提前致谢!
为您的 AWS 账户根用户(控制台)停用 MFA 设备
使用您的 AWS 账户根用户凭据登录 AWS 管理控制台。
重要
要管理 AWS 账户的 MFA 设备,您必须使用您的 AWS 账户根用户凭据登录 AWS。您无法使用其他凭据为根用户管理 MFA 设备。
在导航栏上,选择您的帐户名,然后选择我的安全凭证。如果出现提示,请选择“继续安全凭证”。

展开多重身份验证 (MFA) 部分。
在您要停用的 MFA 设备所在的行中,选择“停用”。
AWS 账户的 MFA 设备已停用
如前所述,添加 MFA 后可以将其从帐户中删除。您还有两个选项可用于转移根帐户 并启用 MFA:
- 如果帐户值得投资,buy并使用硬件 MFA。然后转移帐户涉及物理转移 MFA 设备。
- 如果您想继续使用虚拟设备,请从根帐户中删除 MFA 并重新添加。使用您自己的 Authenticator 应用程序扫描 QR 码时,截取 QR 码的屏幕截图并妥善保存(最好将其打印在纸上并立即销毁任何数字副本),或者按 "Show secret key for manual configuration" 并在纸上写下长种子串。可以扫描或输入 QR 码或种子字符串,以将相同的 OTP 数字流播种到新所有者的身份验证器应用程序中。显然,请注意,如果相同的数据被盗,任何人 都可以使用相同的数据流作为种子,包括攻击者,因此请确保数据安全。
你问了三个questions.Let我们旁观一个
1.Disable MFA on the Root account
要为您的 AWS 账户根用户(控制台)停用 MFA 设备,请按照以下步骤操作
- 使用 Root Creds 登录您的 AWS 账户
- 在导航窗格的右上角,您可以看到
My Security Credentials
- Select 多重身份验证
- 然后针对您的 MFA 设备
将其标记为停用
2.Give them the logins for the Root account
为此,您遵循清楚显示 How do I transfer my account to another person or business? 的 AWS 文档。为此,不需要技术支持包,您的基本支持包就足够了。
3.Trust that they will re-enable MFA as soon as possible
为此,无论您将帐户转移给谁,您都必须询问他们以启用 MFA。您还可以教他们 MFA 的需求及其安全需求。
我已经管理一个 AWS 账户大约一年了。典型的“最佳实践”安全设置:
- 1 个根帐户
- 多个非 Root 帐户,包括我每天使用的帐户
- 所有使用 MFA 的帐户(我个人使用 Google 身份验证器应用程序)
我现在想将整个 AWS 账户(根账户和所有账户)的 "ownership" 转移给其他人。虽然我当然可以给他们用户名 + 密码以 Root 身份登录,但他们也需要 MFA 设置。
我能想到的唯一处理方法是:
- 在 Root 帐户上禁用 MFA
- 为他们提供 Root 帐户的登录信息
- 相信他们会尽快重新启用 MFA
AWS web控制台有没有更好的解决方案?我什至不确定它是否 可能 在设置后禁用帐户上的 MFA(更不用说 Root 了)...
提前致谢!
为您的 AWS 账户根用户(控制台)停用 MFA 设备
使用您的 AWS 账户根用户凭据登录 AWS 管理控制台。
重要
要管理 AWS 账户的 MFA 设备,您必须使用您的 AWS 账户根用户凭据登录 AWS。您无法使用其他凭据为根用户管理 MFA 设备。
在导航栏上,选择您的帐户名,然后选择我的安全凭证。如果出现提示,请选择“继续安全凭证”。

展开多重身份验证 (MFA) 部分。
在您要停用的 MFA 设备所在的行中,选择“停用”。
AWS 账户的 MFA 设备已停用
如前所述,添加 MFA 后可以将其从帐户中删除。您还有两个选项可用于转移根帐户 并启用 MFA:
- 如果帐户值得投资,buy并使用硬件 MFA。然后转移帐户涉及物理转移 MFA 设备。
- 如果您想继续使用虚拟设备,请从根帐户中删除 MFA 并重新添加。使用您自己的 Authenticator 应用程序扫描 QR 码时,截取 QR 码的屏幕截图并妥善保存(最好将其打印在纸上并立即销毁任何数字副本),或者按 "Show secret key for manual configuration" 并在纸上写下长种子串。可以扫描或输入 QR 码或种子字符串,以将相同的 OTP 数字流播种到新所有者的身份验证器应用程序中。显然,请注意,如果相同的数据被盗,任何人 都可以使用相同的数据流作为种子,包括攻击者,因此请确保数据安全。
你问了三个questions.Let我们旁观一个
1.Disable MFA on the Root account
要为您的 AWS 账户根用户(控制台)停用 MFA 设备,请按照以下步骤操作
- 使用 Root Creds 登录您的 AWS 账户
- 在导航窗格的右上角,您可以看到
My Security Credentials - Select 多重身份验证
- 然后针对您的 MFA 设备 将其标记为停用
2.Give them the logins for the Root account
为此,您遵循清楚显示 How do I transfer my account to another person or business? 的 AWS 文档。为此,不需要技术支持包,您的基本支持包就足够了。
3.Trust that they will re-enable MFA as soon as possible
为此,无论您将帐户转移给谁,您都必须询问他们以启用 MFA。您还可以教他们 MFA 的需求及其安全需求。