Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, o endereço de e-mail e a senha que você fornecer serão as credenciais do seu usuário-raiz, o qual tem acesso a todos os produtos e recursos da AWS na conta.
-
Use o usuário-raiz apenas para executar as tarefas que exigem permissões de nível raiz. Para obter a lista completa das tarefas que exigem fazer login como usuário-raiz, consulte Tarefas que exigem credenciais de usuário-raiz.
-
Siga as Práticas recomendadas para o usuário-raiz para sua Conta da AWS.
-
Em caso de problemas para iniciar sessão, consulte Iniciar sessão no AWS Management Console.
Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, você começa com uma única identidade de login que tem acesso total a todos os produtos e recursos da AWS na conta. Essa identidade é denominada usuário-raiz da conta da AWS e é acessada pelo login com o endereço de e-mail e a senha usados para criar a conta.
Importante
É altamente recomendável não usar o usuário-raiz para tarefas diárias e seguir as melhores práticas do usuário-raiz para suas Conta da AWS. Proteja as credenciais do usuário-raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem fazer login como usuário-raiz, consulte Tarefas que exigem credenciais de usuário-raiz.
Embora a MFA seja aplicada para usuários-raiz por padrão, ela exige uma ação do cliente para adicionar a MFA durante a criação inicial da conta, ou conforme solicitado durante o login. Para obter mais informações sobre como usar a MFA para proteger o usuário-raiz, consulte Autenticação multifator para Usuário raiz da conta da AWS.
Gerencie centralmente o acesso raiz para contas-membro
Para ajudá-lo a gerenciar credenciais em grande escala, é possível proteger centralmente o acesso às credenciais de usuário-raiz para contas-membro no AWS Organizations. Ao habilitar o AWS Organizations, você combina todas as suas contas do AWS em uma organização para gerenciamento central. A centralização do acesso raiz permite que você remova as credenciais de usuário-raiz e execute as tarefas privilegiadas a seguir nas contas-membro.
- Remoção de credenciais de usuário-raiz de conta-membro
-
Depois de centralizar o acesso raiz para contas-membro, será possível optar por excluir as credenciais de usuário-raiz das contas-membro no seu Organizations. Você pode remover a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativar a autenticação multifator (MFA). As novas contas que você criar no Organizations não terão credenciais de usuário-raiz por padrão. As contas-membro não podem fazer login com o usuário-raiz nem realizar a recuperação da senha do usuário-raiz, a menos que a recuperação de conta esteja habilitada.
- Realização de tarefas privilegiadas que exijam credenciais de usuário-raiz
-
Algumas tarefas poderão ser executadas apenas quando você fizer login como usuário-raiz de uma conta. Algumas dessas Tarefas que exigem credenciais de usuário-raiz podem ser executadas pela conta de gerenciamento ou pelo administrador delegado do IAM. Para saber mais sobre como realizar ações privilegiadas em contas-membro, consulte Execução de uma tarefa privilegiada.
- Habilitar a recuperação da conta do usuário-raiz
-
Se você precisar recuperar as credenciais de usuário-raiz de uma conta-membro, a conta de gerenciamento do Organizations ou o administrador delegado podem realizar a tarefa privilegiada Permitir recuperação de senha. A pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta-membro pode redefinir a senha do usuário-raiz para recuperar as credenciais do usuário-raiz. Recomendamos excluir as credenciais de usuário-raiz depois de concluir a tarefa que requer acesso ao usuário-raiz.
Recursos adicionais
Para obter mais informações sobre o usuário-raiz da AWS, consulte os recursos a seguir:
-
Para obter ajuda com problemas do usuário-raiz, consulte Solucionar problemas com o usuário-raiz.
-
Para gerenciar centralmente os endereços de e-mail do usuário-raiz no Organizations, consulte Atualização do endereço de e-mail do usuário-raiz para uma conta-membro no Guia do usuário do AWS Organizations.
Tarefas que exigem credenciais de usuário-raiz
Recomendamos que configurar um usuário administrativo no AWS IAM Identity Center para realizar tarefas diárias e acessar os recursos da AWS. Porém, as tarefas listadas abaixo podem ser executadas apenas quando você fizer login como o usuário-raiz de uma conta.
Para simplificar o gerenciamento de credenciais de usuário-raiz privilegiado em todas as contas-membro no AWS Organizations, é possível habilitar o acesso raiz centralizado para ajudá-lo a proteger centralmente o acesso altamente privilegiado às suas Contas da AWS. Gerencie centralmente o acesso raiz para contas-membropermite que você remova centralmente e evite a recuperação de credenciais de usuário-raiz a longo prazo, melhorando a segurança da conta em sua organização. Depois que você habilitar esse atributo, poderá executar as tarefas privilegiadas a seguir nas contas-membro.
-
Remova as credenciais do usuário-raiz da conta-membro para evitar a recuperação da conta do usuário-raiz. Também é possível permitir a recuperação de senha para recuperar as credenciais de usuário-raiz para uma conta-membro.
-
Remova uma política de bucket mal configurada que negue a todas as entidades principais o acesso ao bucket do Amazon S3.
-
Exclua uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
Tarefas de gerenciamento de contas
-
Altere as configurações da conta. Isso inclui o nome da conta, endereço de e-mail, senha do usuário-raiz e chaves de acesso do usuário-raiz. Outras configurações de conta, como informações de contato, preferência de moeda de pagamento e Regiões da AWS, não exigem credenciais de usuário-raiz.
-
Restaurar permissões do usuário do IAM. Se o único administrador do IAM revogar acidentalmente suas próprias permissões, será possível fazer login como o usuário-raiz para editar políticas e restaurar essas permissões.
-
Para obter mais informações, consulte os tópicos a seguir.
Tarefas de cobrança
-
Ativação do acesso do IAM ao console de Gerenciamento de Faturamento e Custos.
-
Algumas tarefas de cobrança são limitadas ao usuário-raiz. Consulte Gerenciando uma Conta da AWS no Guia de usuário do AWS Billing para obter mais informações.
-
Exiba determinadas faturas de imposto. Um usuário do IAM com a permissão aws-portal:ViewBilling pode visualizar e fazer download de faturas de IVA da AWS Europa, mas não da AWS Inc. ou da Amazon Internet Services Private Limited (AISPL).
Tarefas do AWS GovCloud (US)
-
Solicitar as chaves de acesso do usuário-raiz da conta AWS GovCloud (US) ao AWS Support.
Tarefa do Amazon EC2
-
Registrado como um vendedor no Marketplace de instâncias reservadas.
Tarefa do AWS KMS
-
Caso uma chave do AWS Key Management Service perca o controle, um administrador poderá recuperá-la entrando em contato com o Suporte. No entanto, o Suporte responderá ao número de telefone principal do usuário-raiz para autorização confirmando a OTP do ticket.
Tarefa do Amazon Mechanical Turk
Tarefas do Amazon Simple Storage Service
-
Configurar um bucket do Amazon S3 para habilitar a MFA (autenticação multifator).
-
Editar ou excluir uma política de bucket do Amazon S3 que negue todas as entidade principais
. Você pode usar ações privilegiadas para desbloquear um bucket do Amazon S3 com uma política de bucket mal configurada. Para obter detalhes, consulte Execução de uma tarefa privilegiada em uma conta-membro do AWS Organizations.
Tarefa do Amazon Simple Queue Service
-
Edite ou exclua uma política baseada em recurso do Amazon SQS que negue todas as entidade principais
. Você pode usar ações privilegiadas para desbloquear uma fila do Amazon SQS com uma política baseada em recursos mal configurada. Para obter detalhes, consulte Execução de uma tarefa privilegiada em uma conta-membro do AWS Organizations.
Informações relacionadas
Os artigos a seguir fornecem informações adicionais sobre como trabalhar com o usuário-raiz.