# Execução de uma tarefa privilegiada em uma conta-membro do AWS Organizations
A conta gerencial da AWS Organizations ou uma conta de administrador delegado do IAM podem executar algumas tarefas privilegiadas em contas de membro que, de outra forma, exigiriam credenciais de usuário-raiz. Com o acesso raiz centralizado, essas tarefas são executadas por meio de sessões privilegiadas de curto prazo. Essas sessões fornecem credenciais temporárias com escopo para ações privilegiadas específicas, sem exigir o login do usuário-raiz na conta de membro.
Depois de iniciar uma sessão privilegiada, será possível excluir uma política de bucket do Amazon S3 mal configurada, excluir uma política de fila do Amazon SQS mal configurada, excluir as credenciais de usuário-raiz de uma conta-membro e reativar as credenciais de usuário-raiz de uma conta-membro.
**nota**
Para usar o acesso raiz centralizado, você deve fazer login por meio de uma conta gerencial ou uma conta de administrador delegado com um usuário ou perfil do IAM com a permissão `sts:AssumeRoot` explicitamente concedida. Você pode usar credenciais usuário-raiz para chamar `sts:AssumeRoot`.
## Pré-requisitos
Antes de iniciar uma sessão privilegiada, é preciso ter as configurações a seguir:
+ Você habilitou o acesso raiz centralizado em sua organização. Para obter etapas para ativar esse atributo, consulte [Centralização de acesso raiz para contas-membro](id_root-enable-root-access.md).
+ Sua conta de gerenciamento ou conta de administrador delegado tem as permissões a seguir: `sts:AssumeRoot`
## Realização de uma ação privilegiada em uma conta-membro (console)
**Para iniciar uma sessão para ação privilegiada em uma conta-membro no Console de gerenciamento da AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console, escolha **Gerenciamento de acesso raiz**.
1. Selecione um nome na lista de contas-membro e escolha **Realizar ação privilegiada**.
1. Escolha a ação privilegiada que você deseja realizar na conta-membro.
+ Selecione **Excluir política de bucket do Amazon S3** para remover uma política de bucket mal configurada que impeça que todas as entidades principais acessem o bucket do Amazon S3.
1. Escolha **Pesquisar no S3** para selecionar um nome dentre os buckets pertencentes à conta-membro, e selecione **Escolher**.
1. Escolha **Excluir política de bucket**.
1. Use o console do Amazon S3 para corrigir a política de bucket após excluir a política mal configurada. Para obter mais informações, consulte [Adição de uma política de bucket com o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no *Guia do usuário do Amazon S3*.
+ Selecione **Excluir política do Amazon SQS** para excluir uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
1. Insira o nome da fila em **Nome da fila do SQS** e selecione **Excluir política do SQS**.
1. Use o console do Amazon SQS para corrigir a política de fila após excluir a política mal configurada. Para obter mais informações, consulte [Configuração de uma política de acesso no Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html), no *Guia do desenvolvedor do Amazon SQS*.
+ Selecione **Excluir credenciais de usuário-raiz** para remover o acesso raiz de uma conta-membro. A exclusão das credenciais do usuário-raiz removerá a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativará a autenticação multifator (MFA) da conta do membro.
1. Escolha **Excluir credenciais de usuário-raiz**.
+ Selecione **Permitir recuperação de senha** para recuperar as credenciais de usuário-raiz para uma conta-membro.
Essa opção só estará disponível quando a conta-membro não tiver credenciais de usuário-raiz.
1. Escolha **Permitir recuperação de senha**.
1. Depois de realizar essa ação privilegiada, a pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta-membro poderá [redefinir a senha do usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) e fazer login no usuário-raiz da conta-membro.
## Realização de uma ação privilegiada em uma conta-membro (AWS CLI)
**Para iniciar uma sessão para ação privilegiada em uma conta-membro a partir da AWS Command Line Interface**
1. Use o comando a seguir para assumir uma sessão de usuário-raiz: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html).
**nota**
Não há suporte para o endpoint global em `sts:AssumeRoot`. Você deve enviar essa solicitação a um endpoint regional do AWS STS. Para obter mais informações, consulte [Gerenciar o AWS STS em uma Região da AWS](id_credentials_temp_enable-regions.md).
Ao iniciar uma sessão de usuário-raiz privilegiado para uma conta-membro, você deverá definir `task-policy-arn` estabelecer o escopo da sessão para a ação privilegiada a ser executada durante a sessão. É possível usar uma das políticas gerenciadas pela AWS a seguir para definir o escopo das ações de sessão privilegiada.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Para limitar as ações que uma conta de gerenciamento ou administrador delegado pode realizar durante uma sessão de usuário-raiz privilegiado, é possível usar a chave de condição do AWS STS [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn).
No exemplo a seguir, o administrador delegado assume o usuário-raiz para excluir as credenciais de usuário-raiz da conta do membro de ID *111122223333*.
```
aws sts assume-root \
--target-principal 111122223333 \
--task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
--duration-seconds 900
```
1. Use `SessionToken`, `AccessKeyId` e `SecretAccessKey` da resposta para realizar ações privilegiadas na conta-membro. É possível omitir o nome de usuário e a senha na solicitação para usar como padrão a conta-membro.
+ **Verificação do status das credenciais de usuário-raiz**. Use os comandos a seguir para verificar o status das credenciais de usuário-raiz de uma conta-membro.
+ [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
+ [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
+ [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
+ [get-access-key-last-used](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
+ **Exclusão das credenciais de usuário-raiz**. Use os comandos a seguir para excluir o acesso raiz. Você pode remover a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativar a autenticação multifator (MFA) para remover todo o acesso e a recuperação do usuário-raiz.
+ [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
+ [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
+ [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
+ [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
+ **Exclusão de política de bucket do Amazon S3**. Use os comandos a seguir para ler, editar e excluir uma política de bucket mal configurada que impeça que todas as entidades principais acessem o bucket do Amazon S3.
+ [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
+ [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
+ [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
+ [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
+ **Exclusão de política do Amazon SQS**. Use os comandos a seguir para visualizar e excluir uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
+ [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
+ [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
+ [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
+ [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
+ **Permissão para recuperação de senha**. Use os comandos a seguir para visualizar o nome do usuário e recuperar as credenciais de usuário-raiz para uma conta-membro.
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)
## Realização de uma ação privilegiada em uma conta-membro (AWS API)
**Para iniciar uma sessão para ação privilegiada em uma conta-membro a partir da AWS API**
1. Use o comando a seguir para assumir uma sessão de usuário-raiz: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html).
**nota**
Não há suporte para o endpoint global para AssumeRoot. Você deve enviar essa solicitação a um endpoint regional do AWS STS. Para obter mais informações, consulte [Gerenciar o AWS STS em uma Região da AWS](id_credentials_temp_enable-regions.md).
Ao iniciar uma sessão de usuário-raiz privilegiado para uma conta-membro, você deverá definir `TaskPolicyArn` estabelecer o escopo da sessão para a ação privilegiada a ser executada durante a sessão. É possível usar uma das políticas gerenciadas pela AWS a seguir para definir o escopo das ações de sessão privilegiada.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Para limitar as ações que uma conta de gerenciamento ou administrador delegado pode realizar durante uma sessão de usuário-raiz privilegiado, é possível usar a chave de condição do AWS STS [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn).
No exemplo a seguir, o administrador delegado assume o usuário-raiz para ler, editar e excluir uma política baseada em recursos mal configurada para um bucket do Amazon S3 para a conta-membro de ID *111122223333*.
```
https://sts.us-east-2.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRoot
&TargetPrincipal=111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds 900
```
1. Use `SessionToken`, `AccessKeyId` e `SecretAccessKey` da resposta para realizar ações privilegiadas na conta-membro. É possível omitir o nome de usuário e a senha na solicitação para usar como padrão a conta-membro.
+ **Verificação do status das credenciais de usuário-raiz**. Use os comandos a seguir para verificar o status das credenciais de usuário-raiz de uma conta-membro.
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
+ [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
+ [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
+ [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
+ **Exclusão das credenciais de usuário-raiz**. Use os comandos a seguir para excluir o acesso raiz. Você pode remover a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativar a autenticação multifator (MFA) para remover todo o acesso e a recuperação do usuário-raiz.
+ [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
+ [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
+ [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
+ **Exclusão de política de bucket do Amazon S3**. Use os comandos a seguir para ler, editar e excluir uma política de bucket mal configurada que impeça que todas as entidades principais acessem o bucket do Amazon S3.
+ [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ **Exclusão de política do Amazon SQS**. Use os comandos a seguir para visualizar e excluir uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
+ [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
+ [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
+ [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
+ [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
+ **Permissão para recuperação de senha**. Use os comandos a seguir para visualizar o nome do usuário e recuperar as credenciais de usuário-raiz para uma conta-membro.
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)