Aviso de fim do suporte: em 30 de junho de 2027, AWS encerrará o suporte para o AMS Advanced. Depois de 30 de junho de 2027, você não poderá mais acessar o console do AMS Advanced ou os recursos do AMS Advanced. Para obter mais informações, consulte Fim do suporte do AMS Advanced.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como e quando usar a conta de usuário raiz no AMS
O usuário root é o superusuário em sua AWS conta. O AMS monitora o uso do root. Recomendamos que você use root somente para algumas tarefas que exigem isso, por exemplo: alterar as configurações da conta, ativar o acesso AWS Identity and Access Management (IAM) ao faturamento e ao gerenciamento de custos, alterar sua senha raiz e ativar a autenticação multifator (MFA). Consulte Tarefas que exigem credenciais de usuário root no Guia do AWS Identity and Access Management usuário.
nota
O MFA é ativado durante a integração do AMS Advanced para proibir especificamente o acesso do usuário raiz. O acesso root em contas gerenciadas pelo AMS é diferente de outras AWS contas e é fundamental para a segurança de todo o seu ambiente gerenciado pelo AMS. O MFA configurado é um MFA virtual e é executado usando um dispositivo de propriedade da AMS. Depois que a MFA virtual é configurada com a ajuda da AMS, o token virtual é imediatamente excluído. Isso garante que nem você nem o AMS mantenham a capacidade de fazer login na conta como usuário root. O login root só pode ser reativado em solicitações especiais (explicadas a seguir) e o AMS espera que esses acessos sejam usados somente quando absolutamente necessário. Para obter informações sobre o MFA, consulte Proteger nova conta com autenticação multifator.
O acesso root sempre aciona uma resposta da equipe de segurança e operações do AMS. O AMS monitora as chamadas de API para acesso root e os alarmes são acionados se esse acesso for detectado.
A solicitação de acesso root é um pouco diferente entre os tipos de conta do AMS.
Acesso root com a landing zone de conta única do AMS Advanced:
Se você tiver uma landing zone de conta única, entre em contato com seu gerente de prestação de serviços em nuvem (CSDM) e com os arquitetos de nuvem (CAs) para informá-los sobre o trabalho de acesso raiz necessário. É melhor avisar com vinte e quatro horas de antecedência antes da atividade proposta.
Acesso root com a landing zone multiconta do AMS Advanced:
Para contas de aplicativos, serviços compartilhados, segurança ou rede na zona de destino com várias contas, use o tipo de alteração Management | Other | Other (ct-1e1xtak34nx76). Inclua a data, a hora e a finalidade de usar as credenciais do usuário raiz e agende a RFC para garantir um aviso prévio de vinte e quatro horas antes da atividade proposta. Use sua conta de gerenciamento de landing zone com várias contas para enviar o RFC.
Além disso, entre em contato com seu CSDM com CAs vinte e quatro horas de antecedência, para informá-lo sobre o trabalho de acesso raiz necessário.
Operações do AMS e resposta de segurança ao uso raiz:
O AMS recebe um alarme quando a conta do usuário raiz é usada. Se o uso das credenciais raiz não for programado, eles entrarão em contato com a equipe de segurança do AMS e com a equipe da sua conta para verificar se essa é a atividade esperada. Se não for uma atividade esperada, o AMS trabalha com sua equipe de segurança para investigar o problema.