# Usuário raiz da conta da AWS
<a name="id_root-user"></a>

Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, você começa com uma única identidade de login que tem acesso total a todos os produtos e recursos da AWS na conta. Essa identidade é chamada de *usuário raiz* da conta da AWS. O endereço de e-mail e a senha que você usou para criar sua Conta da AWS são as credenciais que você usa para fazer login como usuário-raiz.
+ Use o usuário-raiz apenas para executar as tarefas que exigem permissões de nível raiz. Para obter a lista completa das tarefas que exigem fazer login como usuário-raiz, consulte [Tarefas que exigem credenciais de usuário-raiz](#root-user-tasks). 
+ Siga as [Práticas recomendadas para o usuário-raiz para sua Conta da AWS](root-user-best-practices.md).
+ Se tiver problemas para iniciar uma sessão, consulte [Sign in to the Console de gerenciamento da AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html).

**Importante**  
É altamente recomendável não usar o usuário-raiz para tarefas diárias e seguir as [melhores práticas do usuário-raiz para suas Conta da AWS](root-user-best-practices.md). Proteja as credenciais do usuário-raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem fazer login como usuário-raiz, consulte [Tarefas que exigem credenciais de usuário-raiz](#root-user-tasks). 

Embora a MFA seja aplicada para usuários-raiz por padrão, ela exige uma ação do cliente para adicionar a MFA durante a criação inicial da conta, ou conforme solicitado durante o login. Para obter mais informações sobre como usar a MFA para proteger o usuário-raiz, consulte [Autenticação multifator para Usuário raiz da conta da AWS](enable-mfa-for-root.md).

## Gerencie centralmente o acesso raiz para contas-membro
<a name="id_root-user-access-management"></a>

Para ajudá-lo a gerenciar credenciais em grande escala, é possível proteger centralmente o acesso às credenciais de usuário-raiz para contas-membro no AWS Organizations. Ao habilitar o AWS Organizations, você combina todas as suas contas do AWS em uma organização para gerenciamento central. A centralização do acesso raiz permite que você remova as credenciais de usuário-raiz e execute as tarefas privilegiadas a seguir nas contas-membro.

**Remoção de credenciais de usuário-raiz de conta-membro**  
Depois de [centralizar o acesso raiz para contas-membro](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), será possível optar por excluir as credenciais de usuário-raiz das contas-membro no seu Organizations. Você pode remover a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativar a autenticação multifator (MFA). As novas contas que você criar no Organizations não terão credenciais de usuário-raiz por padrão. As contas-membro não podem fazer login com o usuário-raiz nem realizar a recuperação da senha do usuário-raiz, a menos que a recuperação de conta esteja habilitada.

**Realização de tarefas privilegiadas que exijam credenciais de usuário-raiz**  
Algumas tarefas poderão ser executadas apenas quando você fizer login como usuário-raiz de uma conta. Algumas dessas [Tarefas que exigem credenciais de usuário-raiz](#root-user-tasks) podem ser executadas pela conta de gerenciamento ou pelo administrador delegado do IAM. Para saber mais sobre como realizar ações privilegiadas em contas-membro, consulte [Execução de uma tarefa privilegiada](id_root-user-privileged-task.md).

**Habilitar a recuperação da conta do usuário-raiz**  
Se você precisar recuperar as credenciais de usuário-raiz de uma conta-membro, a conta de gerenciamento do Organizations ou o administrador delegado podem realizar a tarefa privilegiada **Permitir recuperação de senha**. A pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta-membro pode [redefinir a senha do usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) para recuperar as credenciais do usuário-raiz. Recomendamos excluir as credenciais de usuário-raiz depois de concluir a tarefa que requer acesso ao usuário-raiz.

# Centralização de acesso raiz para contas-membro
<a name="id_root-enable-root-access"></a>

As credenciais de usuário-raiz são as credenciais iniciais atribuídas a cada Conta da AWS que tenha acesso completo a todos os serviços e recursos da AWS na conta. Ao habilitar o AWS Organizations, você combina todas as suas contas do AWS em uma organização para gerenciamento central. Cada conta-membro tem seu próprio usuário-raiz com permissões padrão para realizar qualquer ação na conta-membro. Recomendamos que você proteja centralmente as credenciais de usuário-raiz das Contas da AWS gerenciadas usando o AWS Organizations para impedir a recuperação e o acesso às credenciais de usuário-raiz em grande escala.

Depois de centralizar o acesso raiz, é possível optar por excluir as credenciais de usuário-raiz das contas-membro em sua organização. Você pode remover a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativar a autenticação multifator (MFA). As novas contas que você criar no AWS Organizations não terão credenciais de usuário-raiz por padrão. As contas dos membros não podem fazer login com o usuário-raiz nem realizar a recuperação da senha do usuário-raiz.

**nota**  
Embora algumas [Tarefas que exigem credenciais de usuário-raiz](id_root-user.md#root-user-tasks) possam ser executadas pela conta gerencial ou pelo administrador delegado do IAM, algumas tarefas só podem ser executadas quando você fizer login como usuário-raiz de uma conta.  
Se precisar recuperar as credenciais de usuário-raiz de uma conta de membro para realizar uma dessas tarefas, siga as etapas em [Execução de uma tarefa privilegiada](id_root-user-privileged-task.md) e selecione **Permitir recuperação de senha**. A pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta de membro poderá [redefinir a senha do usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) e fazer login no usuário-raiz da conta de membro.  
 Recomendamos excluir as credenciais de usuário-raiz depois de concluir a tarefa que requer acesso ao usuário-raiz.

## Pré-requisitos
<a name="enable-root-access-management_prerequisite"></a>

Antes de centralizar o acesso raiz, você deve ter uma conta configurada com as configurações a seguir:
+ Você deve ter as seguintes permissões do IAM:
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountSummary`
  + `iam:GetLoginProfile`
  + `iam:GetUser`
  + `iam:ListAccessKeys`
  + `iam:ListMFADevices`
  + `iam:ListSigningCertificates`
  + `sts:AssumeRoot`
**nota**  
Para auditar o status de credencial de usuário-raiz de uma conta de membro, você pode usar a política gerenciada [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS para reduzir o escopo das permissões ao realizar uma tarefa privilegiada em uma conta de membro AWS Organizations, ou usar qualquer política com acesso a `iam:GetAccountSummary`.  
Para gerar o relatório de informações de credenciais de usuário-raiz, outras políticas só precisam da ação `iam:GetAccountSummary` para produzir a mesma saída. Você também pode listar ou obter informações individuais de credenciais de usuário-raiz, incluindo:  
Se há uma senha de usuário-raiz
Se há uma chave de acesso de usuário-raiz e quando ela foi usada pela última vez
Se o usuário-raiz possui certificados de assinatura associados
Dispositivos de MFA associados ao usuário-raiz
Lista do status consolidado das credenciais do usuário-raiz
+ Você deve gerenciar suas Contas da AWS no [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html).
+ É preciso ter as permissões a seguir para habilitar esse atributo na sua organização:
  + `iam:EnableOrganizationsRootCredentialsManagement`
  + `iam:EnableOrganizationsRootSessions`
  + `iam:ListOrganizationsFeatures`
  + `organizations:EnableAwsServiceAccess`
  + `organizations:ListAccountsForParent`
  + `organizations:RegisterDelegatedAdministrator` 
+ Para garantir a funcionalidade ideal do console, recomendamos habilitar as seguintes permissões adicionais:
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAWSServiceAccessForOrganization`
  + `organizations:ListDelegatedAdministrators`
  + `organizations:ListOrganizationalUnitsForParent`
  + `organizations:ListParents`
  + `organizations:ListTagsForResource`

## Habilitação do acesso raiz centralizado (console)
<a name="enable-root-access-console"></a>

**Para habilitar esse atributo para contas-membro no Console de gerenciamento da AWS**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console, escolha **Gerenciar acesso raiz** e, em seguida, selecione **Habilitar**.
**nota**  
Se você vir que o **Gerenciamento de acesso raiz está desabilitado**, habilite o acesso confiável para o AWS Identity and Access Management no AWS Organizations. Para obter detalhes, consulte [AWS IAM e o AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html) no *Guia do usuário do AWS Organizations*.

1. Na seção Capacidades para habilitar, escolha quais atributos habilitar.
   + Selecione **Gerenciamento de credenciais de raiz** para permitir que a conta de gerenciamento e o administrador delegado do IAM excluam as credenciais de usuário-raiz das contas-membro. Você deve habilitar as Ações de usuário-raiz privilegiado nas contas-membro para permitir que as contas-membro recuperem suas credenciais de usuário-raiz após serem excluídas.
   + Selecione **Ações de usuário-raiz privilegiado em contas-membro** para permitir que a conta de gerenciamento e o administrador delegado do IAM realizem determinadas tarefas que exijam credenciais de usuário-raiz.

1. (Opcional) Insira o ID da conta do **Administrador delegado** que está autorizado a gerenciar o acesso de usuário-raiz e a realizar ações privilegiadas nas contas-membro. Recomendamos uma conta destinada a fins de segurança ou gerenciamento.

1. Escolha **Habilitar**.

## Habilitação do acesso raiz centralizado (AWS CLI)
<a name="enable-root-access-cli"></a>

**Para habilitar o acesso raiz centralizado a partir da AWS Command Line Interface (AWS CLI)**

1. Se você ainda não habilitou o acesso confiável para o AWS Identity and Access Management no AWS Organizations, use o comando a seguir: [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html).

1. Use o comando a seguir para permitir que a conta de gerenciamento e o administrador delegado do IAM excluam as credenciais de usuário-raiz das contas-membro: [aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html).

1. Use o comando a seguir para permitir que a conta de gerenciamento e o administrador delegado do IAM realizem tarefas que exijam credenciais de usuário-raiz: [aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html).

1. (Opcional) Use o comando a seguir para registrar um administrador delegado: [aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html).

   O exemplo a seguir atribui a conta 111111111111 como administrador delegado do serviço IAM.

   ```
   aws organizations register-delegated-administrator 
   --service-principal iam.amazonaws.com
   --account-id 111111111111
   ```

## Habilitação do acesso raiz centralizado (AWS API)
<a name="enable-root-access-api"></a>

**Para habilitar o acesso raiz centralizado a partir da AWS API**

1. Se você ainda não habilitou o acesso confiável para o AWS Identity and Access Management no AWS Organizations, use o comando a seguir: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).

1. Use o comando a seguir para permitir que a conta de gerenciamento e o administrador delegado do IAM excluam as credenciais de usuário-raiz das contas-membro: [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html).

1. Use o comando a seguir para permitir que a conta de gerenciamento e o administrador delegado do IAM realizem tarefas que exijam credenciais de usuário-raiz: [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html).

1. (Opcional) Use o comando a seguir para registrar um administrador delegado: [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html).

## Próximas etapas
<a name="enable-root-access_next-steps"></a>

Depois de proteger centralmente as credenciais privilegiadas para as contas-membro em sua organização, consulte [Execução de uma tarefa privilegiada](id_root-user-privileged-task.md) para realizar ações privilegiadas em uma conta-membro.

# Execução de uma tarefa privilegiada em uma conta-membro do AWS Organizations
<a name="id_root-user-privileged-task"></a>

A conta gerencial da AWS Organizations ou uma conta de administrador delegado do IAM podem executar algumas tarefas privilegiadas em contas de membro que, de outra forma, exigiriam credenciais de usuário-raiz. Com o acesso raiz centralizado, essas tarefas são executadas por meio de sessões privilegiadas de curto prazo. Essas sessões fornecem credenciais temporárias com escopo para ações privilegiadas específicas, sem exigir o login do usuário-raiz na conta de membro.

Depois de iniciar uma sessão privilegiada, será possível excluir uma política de bucket do Amazon S3 mal configurada, excluir uma política de fila do Amazon SQS mal configurada, excluir as credenciais de usuário-raiz de uma conta-membro e reativar as credenciais de usuário-raiz de uma conta-membro.

**nota**  
Para usar o acesso raiz centralizado, você deve fazer login por meio de uma conta gerencial ou uma conta de administrador delegado com um usuário ou perfil do IAM com a permissão `sts:AssumeRoot` explicitamente concedida. Você pode usar credenciais usuário-raiz para chamar `sts:AssumeRoot`.

## Pré-requisitos
<a name="root-user-privileged-task_prerequisite"></a>

Antes de iniciar uma sessão privilegiada, é preciso ter as configurações a seguir:
+ Você habilitou o acesso raiz centralizado em sua organização. Para obter etapas para ativar esse atributo, consulte [Centralização de acesso raiz para contas-membro](id_root-enable-root-access.md).
+ Sua conta de gerenciamento ou conta de administrador delegado tem as permissões a seguir: `sts:AssumeRoot`

## Realização de uma ação privilegiada em uma conta-membro (console)
<a name="root-user-privileged-task_action-console"></a>

**Para iniciar uma sessão para ação privilegiada em uma conta-membro no Console de gerenciamento da AWS**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console, escolha **Gerenciamento de acesso raiz**.

1. Selecione um nome na lista de contas-membro e escolha **Realizar ação privilegiada**.

1. Escolha a ação privilegiada que você deseja realizar na conta-membro.
   + Selecione **Excluir política de bucket do Amazon S3** para remover uma política de bucket mal configurada que impeça que todas as entidades principais acessem o bucket do Amazon S3.

     1. Escolha **Pesquisar no S3** para selecionar um nome dentre os buckets pertencentes à conta-membro, e selecione **Escolher**.

     1. Escolha **Excluir política de bucket**.

     1. Use o console do Amazon S3 para corrigir a política de bucket após excluir a política mal configurada. Para obter mais informações, consulte [Adição de uma política de bucket com o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no *Guia do usuário do Amazon S3*.
   + Selecione **Excluir política do Amazon SQS** para excluir uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.

     1. Insira o nome da fila em **Nome da fila do SQS** e selecione **Excluir política do SQS**.

     1. Use o console do Amazon SQS para corrigir a política de fila após excluir a política mal configurada. Para obter mais informações, consulte [Configuração de uma política de acesso no Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html), no *Guia do desenvolvedor do Amazon SQS*.
   + Selecione **Excluir credenciais de usuário-raiz** para remover o acesso raiz de uma conta-membro. A exclusão das credenciais do usuário-raiz removerá a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativará a autenticação multifator (MFA) da conta do membro.

     1. Escolha **Excluir credenciais de usuário-raiz**.
   + Selecione **Permitir recuperação de senha** para recuperar as credenciais de usuário-raiz para uma conta-membro.

     Essa opção só estará disponível quando a conta-membro não tiver credenciais de usuário-raiz.

     1. Escolha **Permitir recuperação de senha**.

     1. Depois de realizar essa ação privilegiada, a pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta-membro poderá [redefinir a senha do usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) e fazer login no usuário-raiz da conta-membro.

## Realização de uma ação privilegiada em uma conta-membro (AWS CLI)
<a name="root-user-privileged-task_action-cli"></a>

**Para iniciar uma sessão para ação privilegiada em uma conta-membro a partir da AWS Command Line Interface**

1. Use o comando a seguir para assumir uma sessão de usuário-raiz: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html).
**nota**  
Não há suporte para o endpoint global em `sts:AssumeRoot`. Você deve enviar essa solicitação a um endpoint regional do AWS STS. Para obter mais informações, consulte [Gerenciar o AWS STS em uma Região da AWS](id_credentials_temp_enable-regions.md).

   Ao iniciar uma sessão de usuário-raiz privilegiado para uma conta-membro, você deverá definir `task-policy-arn` estabelecer o escopo da sessão para a ação privilegiada a ser executada durante a sessão. É possível usar uma das políticas gerenciadas pela AWS a seguir para definir o escopo das ações de sessão privilegiada.
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   Para limitar as ações que uma conta de gerenciamento ou administrador delegado pode realizar durante uma sessão de usuário-raiz privilegiado, é possível usar a chave de condição do AWS STS [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn).

    No exemplo a seguir, o administrador delegado assume o usuário-raiz para excluir as credenciais de usuário-raiz da conta do membro de ID *111122223333*. 

   ```
   aws sts assume-root \
     --target-principal 111122223333 \
     --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
     --duration-seconds 900
   ```

1. Use `SessionToken`, `AccessKeyId` e `SecretAccessKey` da resposta para realizar ações privilegiadas na conta-membro. É possível omitir o nome de usuário e a senha na solicitação para usar como padrão a conta-membro.
   + **Verificação do status das credenciais de usuário-raiz**. Use os comandos a seguir para verificar o status das credenciais de usuário-raiz de uma conta-membro.
     + [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
     + [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
     + [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
     + [get-access-key-last-used](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
   + **Exclusão das credenciais de usuário-raiz**. Use os comandos a seguir para excluir o acesso raiz. Você pode remover a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativar a autenticação multifator (MFA) para remover todo o acesso e a recuperação do usuário-raiz.
     + [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
     + [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
     + [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
     + [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
   + **Exclusão de política de bucket do Amazon S3**. Use os comandos a seguir para ler, editar e excluir uma política de bucket mal configurada que impeça que todas as entidades principais acessem o bucket do Amazon S3.
     + [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
     + [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
     + [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
     + [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
   + **Exclusão de política do Amazon SQS**. Use os comandos a seguir para visualizar e excluir uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
     + [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
     + [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
     + [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
     + [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
   + **Permissão para recuperação de senha**. Use os comandos a seguir para visualizar o nome do usuário e recuperar as credenciais de usuário-raiz para uma conta-membro.
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)

## Realização de uma ação privilegiada em uma conta-membro (AWS API)
<a name="root-user-privileged-task_action-api"></a>

**Para iniciar uma sessão para ação privilegiada em uma conta-membro a partir da AWS API**

1. Use o comando a seguir para assumir uma sessão de usuário-raiz: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html).
**nota**  
Não há suporte para o endpoint global para AssumeRoot. Você deve enviar essa solicitação a um endpoint regional do AWS STS. Para obter mais informações, consulte [Gerenciar o AWS STS em uma Região da AWS](id_credentials_temp_enable-regions.md).

   Ao iniciar uma sessão de usuário-raiz privilegiado para uma conta-membro, você deverá definir `TaskPolicyArn` estabelecer o escopo da sessão para a ação privilegiada a ser executada durante a sessão. É possível usar uma das políticas gerenciadas pela AWS a seguir para definir o escopo das ações de sessão privilegiada.
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   Para limitar as ações que uma conta de gerenciamento ou administrador delegado pode realizar durante uma sessão de usuário-raiz privilegiado, é possível usar a chave de condição do AWS STS [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn).

   No exemplo a seguir, o administrador delegado assume o usuário-raiz para ler, editar e excluir uma política baseada em recursos mal configurada para um bucket do Amazon S3 para a conta-membro de ID *111122223333*.

   ```
   https://sts.us-east-2.amazonaws.com/
     ?Version=2011-06-15
     &Action=AssumeRoot
     &TargetPrincipal=111122223333
     &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
     &DurationSeconds 900
   ```

1. Use `SessionToken`, `AccessKeyId` e `SecretAccessKey` da resposta para realizar ações privilegiadas na conta-membro. É possível omitir o nome de usuário e a senha na solicitação para usar como padrão a conta-membro.
   + **Verificação do status das credenciais de usuário-raiz**. Use os comandos a seguir para verificar o status das credenciais de usuário-raiz de uma conta-membro.
     + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
     + [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
     + [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
     + [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
   + **Exclusão das credenciais de usuário-raiz**. Use os comandos a seguir para excluir o acesso raiz. Você pode remover a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativar a autenticação multifator (MFA) para remover todo o acesso e a recuperação do usuário-raiz.
     + [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
     + [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
     + [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
     + [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
   + **Exclusão de política de bucket do Amazon S3**. Use os comandos a seguir para ler, editar e excluir uma política de bucket mal configurada que impeça que todas as entidades principais acessem o bucket do Amazon S3.
     + [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
     + [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
     + [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
     + [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
   + **Exclusão de política do Amazon SQS**. Use os comandos a seguir para visualizar e excluir uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
     + [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
     + [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
     + [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
     + [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
   + **Permissão para recuperação de senha**. Use os comandos a seguir para visualizar o nome do usuário e recuperar as credenciais de usuário-raiz para uma conta-membro.
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

# Autenticação multifator para Usuário raiz da conta da AWS
<a name="enable-mfa-for-root"></a>

**Importante**  
A AWS recomenda usar uma chave de acesso ou chave de segurança para MFA na AWS sempre que possível, pois elas são mais resistentes a ataques como phishing. Para obter mais informações, consulte [Chaves de acesso e chaves de segurança](#passkeys-security-keys-for-root).

A autenticação multifator (MFA) é um mecanismo simples e eficaz para aumentar sua segurança. O primeiro fator, sua senha, é um segredo que você memoriza, também conhecido como fator de conhecimento. Outros fatores podem ser fatores de posse (algo que você tem, como uma chave de segurança) ou fatores de inerência (algo que você é, como um escaneamento biométrico). Para obter mais segurança, recomendamos veementemente que você configure a autenticação multifator (MFA) para ajudar a proteger seus recursos da AWS.

**nota**  
Todos os tipos de Conta da AWS (contas autônomas, de gerenciamento e de membros) exigem que a MFA seja configurada para o usuário-raiz. Os usuários precisarão registrar a MFA em até 35 dias após a primeira tentativa de login, para acessar o Console de gerenciamento da AWS, se a MFA ainda não estiver habilitada.

É possível habilitar a MFA para o Usuário raiz da conta da AWS ou para usuários do IAM. Quando você habilitar a MFA para o usuário-raiz, ela afetará somente as credenciais do usuário-raiz. Para obter mais informações sobre como habilitar a MFA para seus usuários do IAM, consulte [Código da autenticação multifator no IAM da AWS](id_credentials_mfa.md).

**nota**  
As Contas da AWS gerenciadas usando o AWS Organizations podem ter a opção de [gerenciar o acesso raiz de forma centralizada](id_root-user.md#id_root-user-access-management) das contas de membros para evitar a recuperação de credenciais e o acesso em grande escala. Se essa opção estiver habilitada, você poderá excluir as credenciais de usuário-raiz das contas de membros, incluindo senhas e MFA, impedindo efetivamente o login como usuário-raiz, a recuperação de senha ou a configuração da MFA. Como alternativa, se você preferir manter os métodos de login baseados em senha, proteja a conta registrando a MFA para aprimorar a proteção da conta.

Antes de habilitar a MFA para seu usuário-raiz, revise e [atualize as configurações e as informações de contato da sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) para verificar se você tem acesso ao e-mail e ao número de telefone. Se o dispositivo com MFA for perdido, roubado ou não estiver funcionando, você ainda poderá fazer login como usuário-raiz verificando sua identidade usando esse e-mail e número de telefone. Para saber como fazer login usando fatores alternativos de autenticação, consulte [Recuperar uma identidade protegida por MFA no IAM](id_credentials_mfa_lost-or-broken.md). Para desabilitar este recurso, entre em contato com [AWS Support](https://console.aws.amazon.com/support/home#/). 

A AWS é compatível com os seguintes tipos de MFA para seu usuário-raiz:
+ [Chaves de acesso e chaves de segurança](#passkeys-security-keys-for-root)
+ [Aplicações de autenticador virtual](#virtual-auth-apps-for-root)
+ [Tokens físicos de TOTP](#hardware-totp-token-for-root)

## Chaves de acesso e chaves de segurança
<a name="passkeys-security-keys-for-root"></a>

A AWS Identity and Access Management é compatível com chaves de acesso e chaves de segurança para MFA. Com base nos padrões FIDO, chaves de acesso usam criptografia de chave pública para proporcionar uma autenticação forte e resistente a phishing que é mais segura do que as senhas. A AWS é compatível com dois tipos de chaves de acesso: chaves de acesso vinculadas a dispositivo (chaves de segurança) e chaves de acesso sincronizadas.
+ **Chaves de segurança**: dispositivos físicos, como a YubiKey, usados como segundo fator de autenticação. Uma única chave de segurança é compatível com várias contas de usuário-raiz e usuários do IAM. 
+ **Chaves de acesso sincronizadas**: usam gerenciadores de credenciais de provedores como Google, Apple, contas da Microsoft e serviços de terceiros, como 1Password, Dashlane e Bitwarden, como segundo fator.

É possível usar autenticadores biométricos integrados, como Touch ID em Apple MacBooks, para desbloquear seu gerenciador de credenciais e fazer login na AWS. As chaves de acesso são criadas com o provedor escolhido usando sua impressão digital, rosto ou PIN do dispositivo. É possível usar uma chave de acesso de autenticação entre dispositivos (CDA) de um dispositivo, como um dispositivo móvel ou uma chave de segurança de hardware, para entrar em outro dispositivo, como um laptop. Para obter mais informações, consulte [autenticação entre dispositivos](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).

É possível sincronizar chaves de acesso em seus dispositivos para facilitar o login na AWS e aprimorar a usabilidade e a capacidade de recuperação. Para obter mais informações sobre como habilitar chaves de acesso e chaves de segurança, consulte [Habilitar uma chave de acesso ou uma chave de segurança para o usuário-raiz (console)](enable-fido-mfa-for-root.md).

A FIDO Alliance conta com uma lista de todos os [produtos certificados pela FIDO](https://fidoalliance.org/certification/fido-certified-products/) compatíveis com as especificações da FIDO.

## Aplicações de autenticador virtual
<a name="virtual-auth-apps-for-root"></a>

Uma aplicação de autenticador virtual funciona em um telefone ou outro dispositivo e emula um dispositivo físico. As aplicações de autenticação virtual implementam o algoritmo de [senha de uso único com marcação temporal](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP) e oferecem suporte a vários tokens em um único dispositivo. O usuário deve digitar um código válido no dispositivo quando solicitado durante o processo de acesso. Cada token atribuído a um usuário deve ser exclusivo. O usuário não pode digitar um código do token de outro usuário para se autenticar.

Recomendamos que você use um dispositivo MFA virtual ao mesmo tempo em que aguarda a aprovação da compra do hardware ou enquanto aguarda a chegada do hardware. Para obter uma lista de algumas aplicações compatíveis que podem ser usadas como dispositivos de MFA virtuais, consulte [Autenticação multifator (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Para obter instruções sobre como configurar um dispositivo MFA virtual com a AWS, consulte [Habilitar um dispositivo MFA virtual para o usuário-raiz (console)](enable-virt-mfa-for-root.md).

## Tokens físicos de TOTP
<a name="hardware-totp-token-for-root"></a>

Um dispositivo físico gera um código numérico de seis dígitos baseado no [algoritmo de senha de uso único com marcação temporal (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238). O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código do dispositivo de outro usuário para ser autenticado. Para obter informações sobre os dispositivos físicos de MFA compatíveis, consulte [autenticação multifator (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Para obter instruções sobre como configurar um token de hardware TOTP com a AWS, consulte [Habilitar um token de hardware TOTP para o usuário-raiz (console)](enable-hw-mfa-for-root.md).

Se você quiser usar um dispositivo físico de MFA, recomendamos que use chaves de segurança FIDO como alternativa aos dispositivos físicos de TOTP. As chaves de segurança FIDO proporcionam a vantagem de não usar bateria, ter resistência a phishing e comportar vários usuários-raiz e usuários do IAM em um único dispositivo para maior segurança.

**Topics**
+ [Chaves de acesso e chaves de segurança](#passkeys-security-keys-for-root)
+ [Aplicações de autenticador virtual](#virtual-auth-apps-for-root)
+ [Tokens físicos de TOTP](#hardware-totp-token-for-root)
+ [Habilitar uma chave de acesso ou uma chave de segurança para o usuário-raiz (console)](enable-fido-mfa-for-root.md)
+ [Habilitar um dispositivo MFA virtual para o usuário-raiz (console)](enable-virt-mfa-for-root.md)
+ [Habilitar um token de hardware TOTP para o usuário-raiz (console)](enable-hw-mfa-for-root.md)

# Habilitar uma chave de acesso ou uma chave de segurança para o usuário-raiz (console)
<a name="enable-fido-mfa-for-root"></a>

Você só pode configurar e habilitar uma chave de acesso para o seu usuário-raiz no Console de gerenciamento da AWS, não na AWS CLI e nem na API da AWS. <a name="enable_fido_root"></a>

**Para habilitar uma chave de acesso ou uma chave de segurança para seu usuário-raiz do IAM (console)**

1. Abra o [AWS Management Console](https://console.aws.amazon.com/) e inicie a sessão usando suas credenciais de usuário-raiz.

   Para obter instruções, consulte [Sign in to the Console de gerenciamento da AWS as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) no *Início de Sessão da AWS User Guide*.

1. No lado direito da barra de navegação, selecione o nome da conta e escolha **Security credentials** (Credenciais de segurança).  
![\[Credenciais de segurança no menu de navegação\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. **Na página **Minhas credenciais de segurança** do usuário-raiz, em **Autenticação multifator (MFA)**, escolha Atribuir dispositivo de MFA**.

1. **Na página de **nome do dispositivo de MFA**, insira o **nome do dispositivo**, escolha **Chave de acesso ou Chave de segurança** e, em seguida, escolha Avançar**.

1. Em **Configurar dispositivo**, configure sua chave de acesso. Crie uma chave de acesso com dados biométricos, como seu rosto ou impressão digital, com um pin do dispositivo ou inserindo a chave de segurança FIDO na porta USB do seu computador e tocando nela.

1. Siga as instruções no seu navegador para escolher um provedor de chave de acesso ou onde você deseja armazená-la para uso em todos os seus dispositivos. 

1. Escolha **Continuar**.

Agora, você registrou sua chave de acesso para uso com a AWS. A próxima vez que usar as credenciais de usuário-raiz para fazer login, você deverá se autenticar com sua chave de acesso para concluir o processo de login.

Para obter ajuda na solução de problemas de chaves de segurança FIDO, consulte [Solucionar problemas de chaves de acesso e chaves de segurança FIDO](troubleshoot_mfa-fido.md).

# Habilitar um dispositivo MFA virtual para o usuário-raiz (console)
<a name="enable-virt-mfa-for-root"></a>

É possível usar o Console de gerenciamento da AWS para configurar e habilitar um dispositivo com MFA virtual para seu usuário-raiz. Para habilitar dispositivos com MFA para a Conta da AWS, você deve estar conectado à AWS usando suas credenciais de usuário-raiz. 

**Para configurar e habilitar um dispositivo com MFA virtual para uso com seu usuário-raiz (console)**

1. Abra o [AWS Management Console](https://console.aws.amazon.com/) e inicie a sessão usando suas credenciais de usuário-raiz.

   Para obter instruções, consulte [Sign in to the Console de gerenciamento da AWS as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) no *Início de Sessão da AWS User Guide*.

1. No lado direito da barra de navegação, escolha o nome de sua conta e escolha **Security credentials** (Credenciais de segurança).  
![\[Credenciais de segurança no menu de navegação\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Na seção **Multi-Factor Authentication (MFA)** (Autenticação multifator [MFA]), selecione **Assign MFA device** (Atribuir dispositivo de MFA).

1. No assistente, digite um **Nome de dispositivo**, escolha **Aplicação de autenticador** e escolha **Próximo**.

   O IAM gera e exibe informações de configuração para o dispositivo com MFA virtual, incluindo um código QR gráfico. O gráfico é uma representação da chave de configuração secreta que está disponível para entrada manual em dispositivos que não suportam códigos de QR.

1. Abra o aplicativo MFA virtual no dispositivo. 

   Se o aplicativo de MFA virtual oferecer suporte a vários dispositivos ou contas de MFA virtual, selecione a opção para criar uma conta ou um dispositivo MFA virtual.

1. A maneira mais fácil de configurar o aplicativo é usar o aplicativo para digitalizar o código QR. Se você não puder digitalizar o código, é possível digitar as informações de configuração manualmente. O código QR e a chave de configuração secreta gerados pelo IAM estão vinculados a sua Conta da AWS e não podem ser usados com outra conta. Entretanto, eles podem ser reutilizados para configurar um novo dispositivo MFA para a sua conta caso você perca acesso ao dispositivo MFA original.
   + Para usar o código de QR para configurar o dispositivo MFA virtual, no assistente, escolha **Mostrar código de QR**. Em seguida, siga as instruções do app para digitalizar o código. Por exemplo, pode ser necessário selecionar o ícone de câmera ou escolher um comando como **Scan account barcode (Digitalizar código de barras da conta)** e usar a câmera do dispositivo para digitalizar o código QR.
   + No assistente **Set up device** (Configurar dispositivo), selecione **Show secret key** (Exibir chave secreta) e digite a chave secreta em sua aplicação de MFA.
**Importante**  
Faça um backup seguro do código QR ou da chave de configuração secreta, ou habilite vários dispositivos de MFA para sua conta. É possível registrar até **oito** dispositivos com MFA de qualquer combinação dos [ tipos de MFA atualmente compatíveis](https://aws.amazon.com/iam/features/mfa/) com seu Usuário raiz da conta da AWS e usuários do IAM. Um dispositivo de MFA virtual pode ficar indisponível, por exemplo, se você perder o smartphone no qual o dispositivo de MFA virtual está hospedado. Se isso acontecer e você não conseguir fazer login em sua conta sem dispositivos com MFA adicionais anexados ao usuário ou até por [Recuperar um dispositivo com MFA de usuário raiz](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken), não poderá fazer login em sua conta e terá de [entrar em contato com o atendimento ao cliente](https://support.aws.amazon.com/#/contacts/aws-mfa-support) para remover a proteção de MFA da conta. 

   O dispositivo começa a gerar números de seis dígitos.

1. No assistente, na caixa **MFA code 1** (Código MFA 1), digite a senha de uso único que atualmente é exibida no dispositivo de MFA virtual. Espere até 30 segundos para que o dispositivo gere uma nova senha de uso único. Em seguida, digite a segunda senha de uso único na caixa **Código MFA 2**. Escolha **Add MFA** (Adicionar MFA). 
**Importante**  
Envie sua solicitação imediatamente após gerar o código. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA associa com êxito ao usuário, mas o dispositivo MFA está fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode [ressincronizar o dispositivo](id_credentials_mfa_sync.md).

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o Console de gerenciamento da AWS, consulte [Login habilitado para MFA](console_sign-in-mfa.md).

# Habilitar um token de hardware TOTP para o usuário-raiz (console)
<a name="enable-hw-mfa-for-root"></a>

Você só pode configurar e habilitar um dispositivo de MFA físico para o seu usuário-raiz no Console de gerenciamento da AWS, não na AWS CLI e nem na API da AWS.

**nota**  
É possível ver um texto diferente, como **Fazer login usando MFA** e **Solucionar problemas do dispositivo de autenticação**. No entanto, os mesmos recursos são fornecidos. Em ambos os casos, se você não puder verificar o endereço de e-mail e o número de telefone de sua conta usando fatores alternativos de autenticação, entre em contato com o [AWS Support](https://aws.amazon.com/forms/aws-mfa-support) para excluir sua configuração de MFA.<a name="enable_physical_root"></a>

**Para habilitar um token de hardware TOTP para o usuário-raiz (console)**

1. Abra o [AWS Management Console](https://console.aws.amazon.com/) e inicie a sessão usando suas credenciais de usuário-raiz.

   Para obter instruções, consulte [Sign in to the Console de gerenciamento da AWS as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) no *Início de Sessão da AWS User Guide*.

1. No lado direito da barra de navegação, selecione o nome da conta e escolha **Security credentials** (Credenciais de segurança).  
![\[Credenciais de segurança no menu de navegação\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Expanda a seção **Multi-factor authentication (MFA) (Autenticação multifator (MFA))**.

1. Escolha **Assign MFA device** (Atribuir dispositivo de MFA).

1. No assistente, digite um **Device name** (Nome de dispositivo), escolha **Hardware TOTP token** (Token de hardware TOTP) e escolha **Next** (Avançar).

1. Na caixa **Serial number (Número de série)**, insira o número de série localizado na parte de trás do dispositivo MFA.

1. Na caixa **MFA code 1 (Código MFA 1)**, digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.  
![\[Painel do IAM, dispositivo MFA\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/MFADevice.png)

1. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa **MFA code 2 (Código MFA 2)**. Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

1. Escolha **Add MFA** (Adicionar MFA). O dispositivo de MFA agora está associado à Conta da AWS.
**Importante**  
Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode [ressincronizar o dispositivo](id_credentials_mfa_sync.md).

   A próxima vez que você usar suas credenciais de usuário-raiz para fazer login, você deve digitar um código do dispositivo MFA.

# Alterar a senha para o Usuário raiz da conta da AWS
<a name="root-user-password"></a>

É possível alterar o endereço de e-mail e a senha na página [Credenciais de segurança](https://console.aws.amazon.com/iam/home?#security_credential) ou **Conta**. Você também pode selecionar **Esqueceu a senha?** na página de login da AWS para redefinir sua senha.

Para alterar a senha do usuário-raiz., é necessário fazer login como Usuário raiz da conta da AWS, e não como um usuário do IAM. Para saber como redefinir uma senha de usuário-raiz *esquecida*, consulte [Redefinir uma senha de usuário-raiz perdida ou esquecida](reset-root-password.md). 

Para proteger sua senha, é importante seguir estas melhores práticas:
+ Altere sua senha periodicamente. 
+ Mantenha sua senha privada, pois qualquer pessoa que souber sua senha poderá acessar sua conta.
+ Use na AWS uma senha diferente da que você usa em outros sites. 
+ Evite senhas que sejam fáceis de adivinhar. Elas incluem senhas como `secret`, `password`, `amazon` ou `123456`. Evite também usar termos como palavras do dicionário, o seu nome, endereço de e-mail ou outras informações pessoais que possam ser facilmente obtidas.

**Importante**  
Contas da AWS gerenciadas por meio do AWS Organizations podem ter [acesso raiz centralizado](id_root-user.md#id_root-user-access-management) habilitado para contas-membro. Essas contas-membro não têm credenciais de usuário-raiz, não podem fazer login como usuário-raiz e são impedidas de recuperar a senha do usuário-raiz. Entre em contato com seu administrador se precisar realizar uma tarefa que exija credenciais de usuário-raiz.

------
#### [ Console de gerenciamento da AWS ]

**Para alterar a senha para o usuário-raiz**
**Permissões mínimas**  
Para executar as etapas a seguir, é necessário ter as seguintes permissões do IAM:  
Você deve fazer login como usuário-raiz da Conta da AWS, o que não requer permissões adicionais do AWS Identity and Access Management (IAM). Não é possível executar essas etapas como usuário ou perfil do IAM.

1. Abra o [AWS Management Console](https://console.aws.amazon.com/) e inicie a sessão usando suas credenciais de usuário-raiz.

   Para obter instruções, consulte [Sign in to the Console de gerenciamento da AWS as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) no *Início de Sessão da AWS User Guide*.

1. No canto superior direito do console, selecione o nome de sua conta e as **Credenciais de segurança**.

1. Na página **Account** (Conta), ao lado de **Account settings** (Configurações da conta), escolha **Edit** (Editar). Você será avisado para se autenticar novamente para fins de segurança.
**nota**  
Se você não vir a opção **Editar**, é provável que você não esteja conectado como usuário-raiz da sua conta. Não será possível modificar as configurações da conta enquanto estiver conectado como usuário ou perfil do IAM.

1. Na página **Atualizar configurações da conta**, em **Senha**, escolha **Editar**.

1. Na página **Atualizar sua senha**, preencha os campos **Senha atual**, **Nova senha** e **Confirmar nova senha**.
**Importante**  
Certifique-se de escolher uma senha forte. Embora você possa definir uma política de senha de conta para usuários do IAM, essa política não se aplica ao usuário-raiz.

   A AWS exige que sua senha atenda às seguintes condições:
   + Ter no mínimo 8 caracteres e no máximo 128 caracteres de extensão.
   + Incluir no mínimo três dos seguintes tipos de caracteres: maiúsculas, minúsculas, números e os símbolos \$1 @ \$1 \$1 % ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-=.
   + Não ser idêntica ao nome ou endereço de e-mail da sua Conta da AWS.

1. Escolha **Salvar alterações**.

------
#### [ AWS CLI or AWS SDK ]

Não há suporte a essa tarefa na AWS CLI ou por uma operação de API de um dos AWS SDKs. É possível realizar essa tarefa somente usando o Console de gerenciamento da AWS.

------

# Redefinir uma senha de usuário-raiz perdida ou esquecida
<a name="reset-root-password"></a>

Quando você criou sua Conta da AWS inicialmente, forneceu um endereço de e-mail e uma senha. Essas são as suas credenciais de Usuário raiz da conta da AWS. Se você esquecer sua senha de usuário-raiz, poderá redefinir a senha no Console de gerenciamento da AWS.

Contas da AWS gerenciadas por meio do AWS Organizations podem ter [acesso raiz centralizado](id_root-user.md#id_root-user-access-management) habilitado para contas-membro. Essas contas-membro não têm credenciais de usuário-raiz, não podem fazer login como usuário-raiz e são impedidas de recuperar a senha do usuário-raiz. Entre em contato com seu administrador se precisar realizar uma tarefa que exija credenciais de usuário-raiz.

**Importante**  
**Está com problemas para fazer login na AWS?** Certifique-se de estar na [página de login da AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) correta para o seu tipo de usuário. Se você for o Usuário raiz da conta da AWS (proprietário da conta), poderá fazer login na AWS usando as credenciais que configurou ao criar a Conta da AWS. Se você é um usuário do IAM, o administrador da conta poderá fornecer as credenciais que você pode usar para fazer login na AWS. Se você precisar solicitar suporte, não use o link de feedback nesta página, pois o formulário é recebido pela equipe de documentação da AWS, não pelo Suporte. Em vez disso, na página [Entre em contato conosco](https://aws.amazon.com/contact-us/), escolha **Ainda não consegue fazer login em sua conta da AWS** e escolha uma das opções de suporte disponíveis.

**Como redefinir sua senha de usuário-raiz**

1. Abra o [AWS Management Console](https://console.aws.amazon.com/) e inicie a sessão usando suas credenciais de usuário-raiz.

   Para obter instruções, consulte [Sign in to the Console de gerenciamento da AWS as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) no *Início de Sessão da AWS User Guide*.
**nota**  
 Se você estiver conectado ao [Console de gerenciamento da AWS](https://console.aws.amazon.com/) com as credenciais de *usuário do IAM*, deverá sair do sistema para que possa redefinir a senha de usuário-raiz. Se você vir a página de login do usuário do IAM específica da conta, escolha **Sign-in using root account credentials** (Fazer login usando as credenciais da conta raiz) perto da parte inferior da página. Se necessário, forneça o endereço de e-mail da conta e selecione **Next (Próximo)** para acessar a página **Root user sign in (Login do usuário-raiz)**.

1. Escolha **Esqueceu sua senha?**.
**nota**  
Se você for um usuário do IAM, essa opção não estará disponível. A opção **Esqueceu sua senha?** está disponível somente para a conta do usuário-raiz. Os usuários do IAM devem solicitar que o administrador redefina uma senha esquecida. Para obter mais informações, consulte [Esqueci a senha de usuário do IAM da minha conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password). Se você iniciar sessão via portal de acesso do AWS, consulte [Redefinir a senha de usuário do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html).

1. Forneça o endereço de e-mail associado à conta. Em seguida, forneça o texto CAPTCHA e escolha **Continuar**.

1. Verifique o e-mail associado à sua Conta da AWS para ver se há uma mensagem da Amazon Web Services. O e-mail será enviado por um endereço que termina em `@verify.signin.aws`. Siga as orientações no e-mail. Se você não vir o e-mail em sua conta, verifique a pasta de spam. Se você não tiver mais acesso ao e-mail, consulte [Não tenho acesso ao e-mail de minha conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console) no *Guia do usuário do Início de Sessão da AWS*.

# Criar chaves de acesso para o usuário-raiz
<a name="id_root-user_manage_add-key"></a>

**Atenção**  
É altamente recomendável **não** criar pares de chaves de acesso para o usuário raiz. Como [apenas algumas tarefas exigem o usuário raiz](id_root-user.md#root-user-tasks) e elas normalmente são executadas com pouca frequência, recomendamos entrar no Console de gerenciamento da AWS para realizar as tarefas de usuário raiz. Antes de criar chaves de acesso, avalie as [alternativas às chaves de acesso de longo prazo](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

Embora não seja recomendável, é possível criar chaves de acesso para seu usuário raiz para executar comandos na AWS Command Line Interface (AWS CLI) ou usar operações de API de um dos AWS SDKs usando credenciais de usuário raiz. Quando você cria chaves de acesso, o ID da chave de acesso e a chave de acesso secreta são criados como um conjunto. Durante a criação de chaves de acesso, a AWS oferece a você uma oportunidade de visualizar e fazer download da chave de acesso secreta que faz parte de uma chave de acesso. Se não fizer o download ou perdê-lo, você pode excluir a chave de acesso e, em seguida, criar uma nova. É possível criar chaves de acesso do usuário raiz com o console, a AWS CLI ou a API da AWS.

Uma chave de acesso recém-criada tem o status de *ativo*, o que significa que você pode usar a chave de acesso para chamadas de API e CLI. É possível atribuir até duas chaves de acesso ao usuário raiz.

As chaves de acesso que não estiverem em uso deverão ser desativadas. Quando uma chave de acesso estiver inativa, você não poderá usá-la para chamadas de API. As chaves inativas ainda contam para o seu limite. Você pode criar ou excluir uma chave de acesso a qualquer momento. No entanto, se uma chave de acesso for excluída, isto será definitivo, e não poderá ser recuperada.

------
#### [ Console de gerenciamento da AWS ]

**Para criar uma chave de acesso para o Usuário raiz da conta da AWS**
**Permissões mínimas**  
Para executar as etapas a seguir, é necessário ter as seguintes permissões do IAM:  
Você deve fazer login como usuário-raiz da Conta da AWS, o que não requer permissões adicionais do AWS Identity and Access Management (IAM). Não é possível executar essas etapas como usuário ou perfil do IAM.

1. Abra o [AWS Management Console](https://console.aws.amazon.com/) e inicie a sessão usando suas credenciais de usuário-raiz.

   Para obter instruções, consulte [Sign in to the Console de gerenciamento da AWS as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) no *Início de Sessão da AWS User Guide*.

1. No canto superior direito do console, selecione o nome de sua conta e, em seguida, selecione **Credenciais de segurança**. 

1. Na seção **Chaves de acesso**, escolha **Criar chave de acesso**. Se essa opção não estiver disponível, então você já tem o número máximo de chaves de acesso. Você deverá excluir uma das chaves de acesso existentes antes de poder criar outra chave. Para obter mais informações, consulte [Cotas de objetos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities). 

1. Na página **Alternativas às chaves de acesso do usuário raiz**, revise as recomendações de segurança. Para continuar, marque a caixa de seleção e escolha **Criar chave de acesso**. 

1. Na página **Recuperar chave de acesso**, sua ID da **chave de acesso** será exibida. 

1. Em **Chave de acesso secreta**, selecione **Mostrar** e copie o ID da chave de acesso e a chave secreta da janela do navegador para colá-la em outro lugar seguro. Como alternativa, é possível escolher **Baixar arquivo. csv**, o que iniciará o download de um arquivo denominado `rootkey.csv` que contém o ID da chave de acesso e a chave secreta. Salve o arquivo em um lugar seguro.

1. Selecione **Concluído**. Quando você não precisar mais usar a chave de acesso, [recomendamos que a exclua](id_root-user_manage_delete-key.md) ou, pelo menos, considere desativá-la, para que não seja mal utilizada.

------
#### [ AWS CLI & SDKs ]

**Para criar uma chave de acesso para o usuário raiz**
**nota**  
Para executar o comando ou operação de API a seguir como usuário raiz, você já deve ter um par de chaves de acesso ativo. Se você ainda não tiver nenhuma chave de acesso, crie a primeira chave de acesso usando o Console de gerenciamento da AWS. Em seguida, será possível usar as credenciais dessa primeira chave de acesso com a AWS CLI para criar a segunda chave de acesso ou excluir uma chave de acesso.
+ AWS CLI: [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)  
**Example**  

  ```
  $ aws iam create-access-key
  {
      "AccessKey": {
          "UserName": "MyUserName",
          "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
          "Status": "Active",
          "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
          "CreateDate": "2021-04-08T19:30:16+00:00"
      }
  }
  ```
+ API da AWS: [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) na *Referência da API do IAM*. 

------

# Excluir chaves de acesso para o usuário-raiz
<a name="id_root-user_manage_delete-key"></a>

É possível usar o Console de gerenciamento da AWS, a AWS CLI ou a API da AWS para excluir as chaves de acesso do usuário raiz.

------
#### [ Console de gerenciamento da AWS ]

**Para excluir uma chave de acesso para o usuário raiz**
**Permissões mínimas**  
Para executar as etapas a seguir, é necessário ter as seguintes permissões do IAM:  
Você deve fazer login como usuário-raiz da Conta da AWS, o que não requer permissões adicionais do AWS Identity and Access Management (IAM). Não é possível executar essas etapas como usuário ou perfil do IAM.

1. Abra o [AWS Management Console](https://console.aws.amazon.com/) e inicie a sessão usando suas credenciais de usuário-raiz.

   Para obter instruções, consulte [Sign in to the Console de gerenciamento da AWS as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) no *Início de Sessão da AWS User Guide*.

1. No canto superior direito do console, selecione o nome de sua conta e, em seguida, selecione **Credenciais de segurança**. 

1. Na seção **Chaves de acesso**, selecione a chave de acesso que deseja excluir e, em seguida, em **Ações** escolha **Excluir**.
**nota**  
Como alternativa, é possível **Desativar** uma chave de acesso, em vez de excluí-la permanentemente. Dessa forma é possível retomar o uso dela futuramente, sem a necessidade de alterar o ID da chave ou a chave secreta. Enquanto a chave estiver inativa, todas as tentativas de usá-la em solicitações para a API da AWS falharão com o status de acesso negado.

1. Na caixa de diálogo **Excluir <ID da chave de acesso>**, escolha **Desativar**, insira o ID da chave de acesso para confirmar que você deseja excluí-la e escolha **Excluir**. 

------
#### [ AWS CLI & SDKs ]

**Para excluir uma chave de acesso para o usuário raiz**
**Permissões mínimas**  
Para executar as etapas a seguir, é necessário ter as seguintes permissões do IAM:  
Você deve fazer login como usuário-raiz da Conta da AWS, o que não requer permissões adicionais do AWS Identity and Access Management (IAM). Não é possível executar essas etapas como usuário ou perfil do IAM.
+ AWS CLI: [aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)  
**Example**  

  ```
  $ aws iam delete-access-key \
      --access-key-id AKIAIOSFODNN7EXAMPLE
  ```

  Esse comando não gera nenhuma saída quando é bem-sucedido.
+ API da AWS: [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## Tarefas que exigem credenciais de usuário-raiz
<a name="root-user-tasks"></a>

Recomendamos que [configurar um usuário administrativo no Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) para realizar tarefas diárias e acessar os recursos da AWS. Porém, as tarefas listadas abaixo podem ser executadas apenas quando você fizer login como o usuário-raiz de uma conta.

Para simplificar o gerenciamento de credenciais de usuário-raiz privilegiado em todas as contas-membro no AWS Organizations, é possível habilitar o acesso raiz centralizado para ajudá-lo a proteger centralmente o acesso altamente privilegiado às suas Contas da AWS. [Gerencie centralmente o acesso raiz para contas-membro](#id_root-user-access-management)permite que você remova centralmente e evite a recuperação de credenciais de usuário-raiz a longo prazo, melhorando a segurança da conta em sua organização. Depois que você habilitar esse atributo, poderá executar as tarefas privilegiadas a seguir nas contas-membro.
+ Remova as credenciais do usuário-raiz da conta-membro para evitar a recuperação da conta do usuário-raiz. Também é possível permitir a recuperação de senha para recuperar as credenciais de usuário-raiz para uma conta-membro.
+ Remova uma política de bucket mal configurada que negue a todas as entidades principais o acesso ao bucket do Amazon S3.
+ Exclua uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.

**Tarefas de gerenciamento de contas**
+ [Alterar as configurações da sua Conta da AWS.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) Contas da AWS autônomas que não fazem parte do AWS Organizations requerem credenciais de usuário-raiz para atualização do endereço de e-mail, da senha do usuário-raiz e das chaves de acesso do usuário-raiz. Outras configurações da conta, como nome da conta, informações de contato, contatos alternativos, preferência de moeda de pagamento e Regiões da AWS, não requerem credenciais de usuário-raiz.
**nota**  
O AWS Organizations, com todos os atributos habilitados, pode ser usado para gerenciar as configurações das contas de membros centralmente, na conta gerencial e nas contas de administrador delegado. Usuários ou perfis do IAM autorizados, tanto na conta gerencial quanto nas contas de administrador delegado, podem fechar as contas de membros e atualizar os endereços de e-mail, os nomes das contas, as informações de contato, os contatos alternativos e as Regiões da AWS das contas de membros. 
+ [Feche sua Conta da AWS.](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) Contas da AWS autônomas que não fazem parte do AWS Organizations requerem credenciais de usuário-raiz para serem fechadas. Com o AWS Organizations, você pode fechar as contas de membros centralmente, na conta gerencial e nas contas de administrador delegado.
+ [Restaurar permissões do usuário do IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) Se o único administrador do IAM revogar acidentalmente suas próprias permissões, será possível fazer login como o usuário-raiz para editar políticas e restaurar essas permissões.

**Tarefas de cobrança**
+ [Ativação do acesso do IAM ao console de Gerenciamento de Faturamento e Custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate).
+ Algumas tarefas de cobrança são limitadas ao usuário-raiz. Consulte [Gerenciando uma Conta da AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html) no Guia de usuário do AWS Billing para obter mais informações.
+ Exiba determinadas faturas de imposto. Um usuário do IAM com a permissão [aws-portal:ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) pode visualizar e fazer download de faturas de IVA da AWS Europa, mas não da AWS Inc. ou da Amazon Internet Services Private Limited (AISPL).

**AWS GovCloud (US)Tarefas do**
+ [Cadastre-se no AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html).
+ Solicitar as chaves de acesso do usuário-raiz da conta AWS GovCloud (US) ao AWS Support.

**Tarefa do Amazon EC2**
+ [Registrado como um vendedor](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html) no Marketplace de instâncias reservadas.

**AWS KMSTarefa do**
+ Caso uma chave do AWS Key Management Service perca o controle, um administrador poderá recuperá-la entrando em contato com o Suporte. No entanto, o Suporte responderá ao número de telefone principal do usuário-raiz para autorização confirmando a OTP do ticket.

**Tarefa do Amazon Mechanical Turk**
+  [Vincule sua Conta da AWS à sua conta do MTurk Requester](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking).

**Tarefas do Amazon Simple Storage Service**
+ [Configurar um bucket do Amazon S3 para habilitar a MFA (autenticação multifator)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html).
+ [Editar ou excluir uma política de bucket do Amazon S3 que negue todas as entidade principais](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/).

  Você pode usar ações privilegiadas para desbloquear um bucket do Amazon S3 com uma política de bucket mal configurada. Para obter detalhes, consulte [Execução de uma tarefa privilegiada em uma conta-membro do AWS Organizations](id_root-user-privileged-task.md).

**Tarefa do Amazon Simple Queue Service**
+ [Edite ou exclua uma política baseada em recurso do Amazon SQS que negue todas as entidade principais](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy).

  Você pode usar ações privilegiadas para desbloquear uma fila do Amazon SQS com uma política baseada em recursos mal configurada. Para obter detalhes, consulte [Execução de uma tarefa privilegiada em uma conta-membro do AWS Organizations](id_root-user-privileged-task.md).

## Recursos adicionais
<a name="id_root-user-resources"></a>

Para obter mais informações sobre o usuário-raiz da AWS, consulte os recursos a seguir:
+ Para obter ajuda com problemas do usuário-raiz, consulte [Solucionar problemas com o usuário-raiz](troubleshooting_root-user.md).
+ Para gerenciar centralmente os endereços de e-mail do usuário-raiz no AWS Organizations, consulte [Como atualizar o endereço de e-mail do usuário-raiz de uma conta do membro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) no *Guia do usuário do AWS Organizations*.

Os artigos a seguir fornecem informações adicionais sobre como trabalhar com o usuário-raiz.
+ [Quais são algumas das práticas recomendadas para proteger minha Conta da AWS e seus recursos?](https://repost.aws/knowledge-center/security-best-practices)
+ [Como posso criar uma regra de evento do EventBridge para me notificar se meu usuário-raiz for usado?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule) 
+ [Monitorar e notificar atividades do Usuário raiz da conta da AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [Monitorar a atividade do usuário-raiz do IAM](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)