

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Monitorar a atividade do usuário raiz do IAM
<a name="monitor-iam-root-user-activity"></a>

*JJ Sung e Mostefa Brougui, da Amazon Web Services*

## Resumo
<a name="monitor-iam-root-user-activity-summary"></a>

Cada conta da Amazon Web Services (AWS) tem um usuário raiz. Como [prática recomendada de segurança](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) para o AWS Identity and Access Management (IAM), recomendamos usar o usuário raiz para concluir as tarefas que somente o usuário raiz pode executar. Para obter a lista completa, consulte [Tarefas que exigem credenciais de usuário raiz](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html) no *Guia de Referência do Gerenciamento de Conta Compartilhado da AWS*. Como o usuário raiz tem acesso total a todos os seus recursos e informações de faturamento da AWS, recomendamos que você não use essa conta e a monitore em busca de qualquer atividade, o que possa indicar que as credenciais do usuário raiz foram comprometidas.

Ao usar esse padrão, você configura uma [arquitetura orientada por eventos](https://aws.amazon.com/event-driven-architecture/) que monitora o usuário raiz do IAM. Esse padrão configura uma hub-and-spoke solução que monitora várias contas da AWS, as contas *spoke*, e centraliza o gerenciamento e os relatórios em uma única conta, a conta *hub*.

Quando as credenciais do usuário raiz do IAM são usadas, a Amazon CloudWatch e a AWS CloudTrail registram a atividade no log e na trilha, respectivamente. Na conta spoke, uma EventBridge regra da Amazon envia o evento para o [ônibus central de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) na conta do hub. Na conta do hub, uma EventBridge regra envia o evento para uma função do AWS Lambda. A função usa um tópico do Amazon Simple Notification Service (Amazon SNS) que notifica você sobre a atividade do usuário raiz.

Nesse padrão, você usa um CloudFormation modelo da AWS para implantar os serviços de monitoramento e tratamento de eventos nas contas spoke. Você usa um modelo do HashiCorp Terraform para implantar os serviços de gerenciamento de eventos e notificação na conta do hub.

## Pré-requisitos e limitações
<a name="monitor-iam-root-user-activity-prereqs"></a>

**Pré-requisitos **

1. Permissões para implantar recursos da AWS em seu ambiente da AWS.

1. Permissões para implantar conjuntos CloudFormation de pilhas. Para obter mais informações, consulte [Pré-requisitos para operações de conjunto de pilhas (](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs.html)documentação). CloudFormation 

1. Terraform instalado e pronto para uso. Para obter mais informações, consulte [Conceitos básicos – AWS](https://learn.hashicorp.com/collections/terraform/aws-get-started) (Documentação do Terraform).

1. Uma trilha existente em cada relato do spoke. Para obter mais informações, consulte [Conceitos básicos da AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) (CloudTrail documentação).

1. A trilha está configurada para enviar eventos para o CloudWatch Logs. Para obter mais informações, consulte [Envio de eventos para o CloudWatch Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) (CloudTrail documentação).

1. Suas contas hub e spoke devem ser gerenciadas pela AWS Organizations.

## Arquitetura
<a name="monitor-iam-root-user-activity-architecture"></a>

O diagrama a seguir ilustra os componentes básicos da implementação.

![\[Um evento em uma conta spoke criando uma notificação por e-mail em uma conta hub\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/175f356b-f9df-4d33-82fc-fe33b2c88b05/images/6147e5b5-616e-49a4-b330-dbb7e3381fe7.png)


1. Quando as credenciais do usuário raiz do IAM são usadas, CloudWatch CloudTrail registre a atividade no registro e na trilha, respectivamente.

1. Na conta spoke, uma EventBridge regra envia o evento para o [barramento central de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) na conta do hub.

1. Na conta do hub, uma EventBridge regra envia o evento para uma função Lambda.

1. A função do Lambda usa um tópico do Amazon SNS que notifica você sobre a atividade do usuário raiz.

## Ferramentas
<a name="monitor-iam-root-user-activity-tools"></a>

**Serviços da AWS**
+  CloudFormationA [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) ajuda você a configurar recursos da AWS, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida em todas as contas e regiões da AWS.
+  CloudTrailA [AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) ajuda você a auditar a governança, a conformidade e o risco operacional da sua conta da AWS.
+ O [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) ajuda você a centralizar os registros de todos os seus sistemas, aplicativos e serviços da AWS para que você possa monitorá-los e arquivá-los com segurança.
+  EventBridgeA [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) é um serviço de ônibus de eventos sem servidor que ajuda você a conectar seus aplicativos com dados em tempo real de várias fontes. Por exemplo, funções do Lambda, endpoints de invocação HTTP usando destinos de API ou barramentos de eventos em outras contas da AWS.
+ O [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus recursos da AWS, controlando quem está autenticado e autorizado a usá-los.
+ O [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) é um serviço de computação que ajuda você a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
+ O [Amazon Simple Notiﬁcation Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail.

**Outras ferramentas e serviços**
+ O [Terraform](https://www.terraform.io/docs) é um aplicativo CLI para provisionar e gerenciar a infraestrutura e os recursos da nuvem usando código, na forma de arquivos de configuração.

**Repositório de código**

O código-fonte e os modelos desse padrão estão disponíveis em um [GitHub repositório.](https://github.com/aws-samples/aws-iam-root-user-activity-monitor) Esse padrão fornece dois modelos:
+ Um modelo do Terraform contendo os recursos que você implanta na conta do hub
+ Um CloudFormation modelo que você implanta como uma instância de conjunto de pilhas nas contas spoke

O repositório tem a estrutura geral a seguir.

```
.
 |__README.md
 |__spoke-stackset.yaml
 |__hub.tf
 |__root-activity-monitor-module
     |__main.tf  # contains Terraform code to deploy resources in the Hub account
     |__iam      # contains IAM policies JSON files
         |__ lambda-assume-policy.json          # contains trust policy of the IAM role used by the Lambda function
         |__ lambda-policy.json                 # contains the IAM policy attached to the IAM role used by the Lambda function
     |__outputs  # contains Lambda function zip code
```

A seção *Epics* fornece step-by-step instruções para implantar os modelos.

## Épicos
<a name="monitor-iam-root-user-activity-epics"></a>

### Implante recursos na conta do hub
<a name="deploy-resources-to-the-hub-account"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Clone o repositório de código de amostra. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | AWS geral | 
| Atualize o modelo do Terraform. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | AWS geral | 
| Implantar os recursos na conta do hub da AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | AWS geral | 

### Implante recursos em suas contas spoke
<a name="deploy-resources-to-your-spoke-accounts"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Implante o CloudFormation modelo. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)Para obter mais informações e instruções, consulte [Criar um conjunto de pilhas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) (CloudFormation documentação). | AWS geral | 

### (Opcional) Teste as notificações
<a name="optional-test-the-notifications"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Use as credenciais do usuário raiz. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | AWS geral | 

## Recursos relacionados
<a name="monitor-iam-root-user-activity-resources"></a>
+ [Melhores práticas de segurança](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (Documentação do IAM)
+ [Trabalhando com StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) (CloudFormation documentação)
+ [Comece agora](https://learn.hashicorp.com/collections/terraform/aws-get-started) (Documentação do Terraform)

## Mais informações
<a name="monitor-iam-root-user-activity-additional"></a>

 GuardDutyA [Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) é um serviço contínuo de monitoramento de segurança que analisa e processa registros para identificar atividades inesperadas e potencialmente não autorizadas em seu ambiente da AWS. Como alternativa a essa solução, se você tiver ativado GuardDuty, ela poderá alertá-lo quando as credenciais do usuário raiz forem usadas. A GuardDuty descoberta é`Policy:IAMUser/RootCredentialUsage`, e a severidade padrão é **Baixa**. Para obter mais informações, consulte [Gerenciando GuardDuty as descobertas da Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/findings_management.html).