Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Usuário raiz da conta da AWS

Modo de foco
Usuário raiz da conta da AWS - AWS Identity and Access Management

Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, o endereço de e-mail e a senha que você fornecer serão as credenciais do seu usuário-raiz, o qual tem acesso a todos os produtos e recursos da AWS na conta.

Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, você começa com uma única identidade de login que tem acesso total a todos os produtos e recursos da AWS na conta. Essa identidade é denominada usuário-raiz da conta da AWS e é acessada pelo login com o endereço de e-mail e a senha usados para criar a conta.

Importante

É altamente recomendável não usar o usuário-raiz para tarefas diárias e seguir as melhores práticas do usuário-raiz para suas Conta da AWS. Proteja as credenciais do usuário-raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem fazer login como usuário-raiz, consulte Tarefas que exigem credenciais de usuário-raiz.

Embora a MFA seja aplicada para usuários-raiz por padrão, ela exige uma ação do cliente para adicionar a MFA durante a criação inicial da conta, ou conforme solicitado durante o login. Para obter mais informações sobre como usar a MFA para proteger o usuário-raiz, consulte Autenticação multifator para Usuário raiz da conta da AWS.

Gerencie centralmente o acesso raiz para contas-membro

Para ajudá-lo a gerenciar credenciais em grande escala, é possível proteger centralmente o acesso às credenciais de usuário-raiz para contas-membro no AWS Organizations. Ao habilitar o AWS Organizations, você combina todas as suas contas do AWS em uma organização para gerenciamento central. A centralização do acesso raiz permite que você remova as credenciais de usuário-raiz e execute as tarefas privilegiadas a seguir nas contas-membro.

Remoção de credenciais de usuário-raiz de conta-membro

Depois de centralizar o acesso raiz para contas-membro, será possível optar por excluir as credenciais de usuário-raiz das contas-membro no seu Organizations. Você pode remover a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativar a autenticação multifator (MFA). As novas contas que você criar no Organizations não terão credenciais de usuário-raiz por padrão. As contas-membro não podem fazer login com o usuário-raiz nem realizar a recuperação da senha do usuário-raiz, a menos que a recuperação de conta esteja habilitada.

Realização de tarefas privilegiadas que exijam credenciais de usuário-raiz

Algumas tarefas poderão ser executadas apenas quando você fizer login como usuário-raiz de uma conta. Algumas dessas Tarefas que exigem credenciais de usuário-raiz podem ser executadas pela conta de gerenciamento ou pelo administrador delegado do IAM. Para saber mais sobre como realizar ações privilegiadas em contas-membro, consulte Execução de uma tarefa privilegiada.

Habilitar a recuperação da conta do usuário-raiz

Se você precisar recuperar as credenciais de usuário-raiz de uma conta-membro, a conta de gerenciamento do Organizations ou o administrador delegado podem realizar a tarefa privilegiada Permitir recuperação de senha. A pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta-membro pode redefinir a senha do usuário-raiz para recuperar as credenciais do usuário-raiz. Recomendamos excluir as credenciais de usuário-raiz depois de concluir a tarefa que requer acesso ao usuário-raiz.

Recursos adicionais

Para obter mais informações sobre o usuário-raiz da AWS, consulte os recursos a seguir:

Tarefas que exigem credenciais de usuário-raiz

Recomendamos que configurar um usuário administrativo no AWS IAM Identity Center para realizar tarefas diárias e acessar os recursos da AWS. Porém, as tarefas listadas abaixo podem ser executadas apenas quando você fizer login como o usuário-raiz de uma conta.

Para simplificar o gerenciamento de credenciais de usuário-raiz privilegiado em todas as contas-membro no AWS Organizations, é possível habilitar o acesso raiz centralizado para ajudá-lo a proteger centralmente o acesso altamente privilegiado às suas Contas da AWS. Gerencie centralmente o acesso raiz para contas-membropermite que você remova centralmente e evite a recuperação de credenciais de usuário-raiz a longo prazo, melhorando a segurança da conta em sua organização. Depois que você habilitar esse atributo, poderá executar as tarefas privilegiadas a seguir nas contas-membro.

  • Remova as credenciais do usuário-raiz da conta-membro para evitar a recuperação da conta do usuário-raiz. Também é possível permitir a recuperação de senha para recuperar as credenciais de usuário-raiz para uma conta-membro.

  • Remova uma política de bucket mal configurada que negue a todas as entidades principais o acesso ao bucket do Amazon S3.

  • Exclua uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.

Tarefas de gerenciamento de contas
Tarefas de cobrança
Tarefas do AWS GovCloud (US)
Tarefa do Amazon EC2
Tarefa do AWS KMS
  • Caso uma chave do AWS Key Management Service perca o controle, um administrador poderá recuperá-la entrando em contato com o Suporte. No entanto, o Suporte responderá ao número de telefone principal do usuário-raiz para autorização confirmando a OTP do ticket.

Tarefas do Amazon Simple Storage Service
Tarefa do Amazon Simple Queue Service

Os artigos a seguir fornecem informações adicionais sobre como trabalhar com o usuário-raiz.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.