Pré-requisitos Realização de uma ação privilegiada em uma conta-membro (console)Realização de uma ação privilegiada em uma conta-membro (AWS CLI)Realização de uma ação privilegiada em uma conta-membro (AWS API)

Execução de uma tarefa privilegiada em uma conta-membro do AWS Organizations

A conta de gerenciamento do AWS Organizations ou uma conta de administrador delegado do IAM pode realizar algumas tarefas de usuário-raiz em contas-membro usando acesso raiz de curto prazo. Essa tarefas poderão ser executadas apenas quando você fizer login como usuário-raiz de uma conta. Sessões privilegiadas de curto prazo fornecem credenciais temporárias que podem ser usadas para realizar ações privilegiadas em uma conta-membro em sua organização.

Depois de iniciar uma sessão privilegiada, será possível excluir uma política de bucket do Amazon S3 mal configurada, excluir uma política de fila do Amazon SQS mal configurada, excluir as credenciais de usuário-raiz de uma conta-membro e reativar as credenciais de usuário-raiz de uma conta-membro.

Pré-requisitos

Antes de iniciar uma sessão privilegiada, é preciso ter as configurações a seguir:

Você habilitou o acesso raiz centralizado em sua organização. Para obter etapas para ativar esse atributo, consulte Centralização de acesso raiz para contas-membro.
Sua conta de gerenciamento ou conta de administrador delegado tem as permissões a seguir: sts:AssumeRoot

Realização de uma ação privilegiada em uma conta-membro (console)

Para iniciar uma sessão para ação privilegiada em uma conta-membro no AWS Management Console

Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.
No painel de navegação do console, escolha Gerenciamento de acesso raiz.
Selecione um nome na lista de contas-membro e escolha Realizar ação privilegiada.
Escolha a ação privilegiada que você deseja realizar na conta-membro.
- Selecione Excluir política de bucket do Amazon S3 para remover uma política de bucket mal configurada que impeça que todas as entidades principais acessem o bucket do Amazon S3.
  1. Escolha Pesquisar no S3 para selecionar um nome dentre os buckets pertencentes à conta-membro, e selecione Escolher.
  2. Escolha Excluir política de bucket.
  3. Use o console do Amazon S3 para corrigir a política de bucket após excluir a política mal configurada. Para obter mais informações, consulte Adição de uma política de bucket com o console do Amazon S3 no Guia do usuário do Amazon S3.
- Selecione Excluir política do Amazon SQS para excluir uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
  1. Insira o nome da fila em Nome da fila do SQS e selecione Excluir política do SQS.
  2. Use o console do Amazon SQS para corrigir a política de fila após excluir a política mal configurada. Para obter mais informações, consulte Configuração de uma política de acesso no Amazon SQS, no Guia do desenvolvedor do Amazon SQS.
- Selecione Excluir credenciais de usuário-raiz para remover o acesso raiz de uma conta-membro. A exclusão das credenciais de usuário-raiz removerá a senha de usuário-raiz, as chaves de acesso, os certificados de assinatura e desativará a autenticação multifator (MFA) para a conta-membro.
  1. Escolha Excluir credenciais de usuário-raiz.
- Selecione Permitir recuperação de senha para recuperar as credenciais de usuário-raiz para uma conta-membro.
  
  Essa opção só estará disponível quando a conta-membro não tiver credenciais de usuário-raiz.
  1. Escolha Permitir recuperação de senha.
  2. Depois de realizar essa ação privilegiada, a pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta-membro poderá redefinir a senha do usuário-raiz e fazer login no usuário-raiz da conta-membro.

Realização de uma ação privilegiada em uma conta-membro (AWS CLI)

Para iniciar uma sessão para ação privilegiada em uma conta-membro a partir da AWS Command Line Interface

Use o comando a seguir para assumir uma sessão de usuário-raiz: aws sts assume-root.

nota
Não há suporte para o endpoint global em sts:AssumeRoot. Você deve enviar essa solicitação a um endpoint regional do AWS STS. Para ter mais informações, consulte Gerenciar o AWS STS em uma Região da AWS.

Ao iniciar uma sessão de usuário-raiz privilegiado para uma conta-membro, você deverá definir task-policy-arn estabelecer o escopo da sessão para a ação privilegiada a ser executada durante a sessão. É possível usar uma das políticas gerenciadas pela AWS a seguir para definir o escopo das ações de sessão privilegiada.
Para limitar as ações que uma conta de gerenciamento ou administrador delegado pode realizar durante uma sessão de usuário-raiz privilegiado, é possível usar a chave de condição do AWS STS sts:TaskPolicyArn.

No exemplo a seguir, o administrador delegado assume o usuário-raiz para excluir as credenciais de usuário-raiz da conta do membro de ID 111122223333.
```
aws sts assume-root \
  --target-principal 111122223333 \
  --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
  --duration-seconds 900
```
Use o AccessKeyId e a SecretAccessKey da resposta para realizar ações privilegiadas na conta-membro. É possível omitir o nome de usuário e a senha na solicitação para usar como padrão a conta-membro.
- Verificação do status das credenciais de usuário-raiz. Use os comandos a seguir para verificar o status das credenciais de usuário-raiz de uma conta-membro.
- Exclusão das credenciais de usuário-raiz. Use os comandos a seguir para excluir o acesso raiz. É possível remover a senha de usuário-raiz, chaves de acesso, certificados de assinatura e desativar e excluir a autenticação multifator (MFA) para remover todo o acesso e toda a recuperação do usuário-raiz.
- Exclusão de política de bucket do Amazon S3. Use os comandos a seguir para ler, editar e excluir uma política de bucket mal configurada que impeça que todas as entidades principais acessem o bucket do Amazon S3.
- Exclusão de política do Amazon SQS. Use os comandos a seguir para visualizar e excluir uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
- Permissão para recuperação de senha. Use os comandos a seguir para visualizar o nome do usuário e recuperar as credenciais de usuário-raiz para uma conta-membro.
  - get-login-profile
  - create-login-profile

Realização de uma ação privilegiada em uma conta-membro (AWS API)

Para iniciar uma sessão para ação privilegiada em uma conta-membro a partir da AWS API

Use o comando a seguir para assumir uma sessão de usuário-raiz: AssumeRoot.

nota
Não há suporte para o endpoint global para AssumeRoot. Você deve enviar essa solicitação a um endpoint regional do AWS STS. Para ter mais informações, consulte Gerenciar o AWS STS em uma Região da AWS.

Ao iniciar uma sessão de usuário-raiz privilegiado para uma conta-membro, você deverá definir TaskPolicyArn estabelecer o escopo da sessão para a ação privilegiada a ser executada durante a sessão. É possível usar uma das políticas gerenciadas pela AWS a seguir para definir o escopo das ações de sessão privilegiada.
Para limitar as ações que uma conta de gerenciamento ou administrador delegado pode realizar durante uma sessão de usuário-raiz privilegiado, é possível usar a chave de condição do AWS STS sts:TaskPolicyArn.

No exemplo a seguir, o administrador delegado assume o usuário-raiz para ler, editar e excluir uma política baseada em recursos mal configurada para um bucket do Amazon S3 para a conta-membro de ID 111122223333.
```
https://sts.us-east-2.amazonaws.com/
  ?Version=2011-06-15
  &Action=AssumeRoot
  &TargetPrincipal=111122223333
  &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
  &DurationSeconds 900
```
Use o AccessKeyId e a SecretAccessKey da resposta para realizar ações privilegiadas na conta-membro. É possível omitir o nome de usuário e a senha na solicitação para usar como padrão a conta-membro.
- Verificação do status das credenciais de usuário-raiz. Use os comandos a seguir para verificar o status das credenciais de usuário-raiz de uma conta-membro.
- Exclusão das credenciais de usuário-raiz. Use os comandos a seguir para excluir o acesso raiz. É possível remover a senha de usuário-raiz, chaves de acesso, certificados de assinatura e desativar e excluir a autenticação multifator (MFA) para remover todo o acesso e toda a recuperação do usuário-raiz.
- Exclusão de política de bucket do Amazon S3. Use os comandos a seguir para ler, editar e excluir uma política de bucket mal configurada que impeça que todas as entidades principais acessem o bucket do Amazon S3.
- Exclusão de política do Amazon SQS. Use os comandos a seguir para visualizar e excluir uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
- Permissão para recuperação de senha. Use os comandos a seguir para visualizar o nome do usuário e recuperar as credenciais de usuário-raiz para uma conta-membro.
  - GetLoginProfile
  - CreateLoginProfile

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Centralização de acesso raiz

MFA para o usuário-raiz