参考:https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html
所有AWS账户都有用户凭证(user credentials),这些凭证是访问账户内所有资源的钥匙。在你的账户中,你无法调用任何策略来显式地拒绝根用户的访问。你只能使用AWS组织的SCP( service control policy )对一个属于某一组织的账户(包括根用户)的权限做出限制。因而我们推荐你删除根用户的访问密钥,而使用IAM凭证进行AWS的日常操作。
注意:若要使用根账户来更改AWS支持计划或关闭账户,请使用电子邮箱和密码登录AWS控制台。
使用IAM可以安全地控制你账户下所有用户对AWS资源和服务的访问权限。比如,如果想要获取管理员级别的权限,则可以创建一个IAM用户,给予其完全的访问权限,然后使用其安全凭证来操作AWS。如果想修改或撤销权限,修改或删除与这个IAM用户关联的访问策略即可。
若你的多个用户想要访问你的AWS账户,你可以为每个用户创建一个安全凭证,并为每个用户分配相应的资源。
注意:所有IAM用户的花费最终都会被计算在AWS账户所有者的头上。
了解和区分几个概念:
user:用户
account:账户
credential:安全凭证
分析以上的官方解释,应该可以这么理解——一个账户下可以有多个用户,并建议通过创建IAM用户、创建安全凭证、为每个IAM分配相应的权限的方式来进行日常操作的管理。比如一个公司的团队可能只有一个AWS账户,但团队中每个开发人员使用自己的IAM用户进行日常操作,不同开发人员对不同的资源有不同的权限。