Usuário raiz da conta da AWS
Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, você começa com uma única identidade de login que tem acesso total a todos os produtos e recursos da AWS na conta. Essa identidade é denominada usuário root da conta da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta.
Recomendamos que não use o usuário raiz para suas tarefas do dia a dia, nem mesmo as administrativas. Como prática recomendada, proteja suas credenciais de usuário raiz e não as use para tarefas cotidianas. As credenciais do usuário raiz são utilizadas somente para executar algumas tarefas de gerenciamento de contas e serviços.
Para exibir as tarefas que exigem que você faça login como usuário root, consulte Tarefas que exigem credenciais do usuário root.
Você pode criar, girar, desabilitar ou excluir chaves de acesso (IDs de chave de acesso e chaves de acesso secretas) para o seu Usuário raiz da conta da AWS. Você também pode alterar suaa senha de usuário raiz. Qualquer pessoa que tenha credenciais de usuário raiz para sua Conta da AWS tem acesso irrestrito a todos os recursos de sua conta, inclusive informações de faturamento.
Quando você cria chaves de acesso, o ID da chave de acesso e a chave de acesso secreta são criados como um conjunto. Durante a criação de chaves de acesso, a AWS oferece a você uma oportunidade de visualizar e fazer download da chave de acesso secreta que faz parte de uma chave de acesso. Se não fizer o download ou perdê-lo, você pode excluir a chave de acesso e, em seguida, criar uma nova. Você pode criar chaves de acesso de usuário raiz com o console do IAM
Uma chave de acesso recém-criada tem o status de ativo, o que significa que você pode usar a chave de acesso para chamadas de API e CLI. Você possui um limite de duas chaves de acesso para cada usuário do IAM, o que é útil quando você deseja alternar as chaves de acesso. Você também pode atribuir até duas chaves de acesso ao usuário raiz. Se uma chave de acesso for desativada, ela não poderá ser usada para chamadas de API. As chaves inativas ainda contam para o seu limite. Você pode criar ou excluir uma chave de acesso a qualquer momento. No entanto, se uma chave de acesso for excluída, isto será definitivo, e não poderá ser recuperada.
Você pode alterar o endereço de e-mail e a senha na página Credenciais de segurança
Tarefas
Criar ou excluir uma Conta da AWS
Para obter mais informações, consulte os seguintes artigos na Central de Conhecimento da AWS:
Habilitar MFA no Usuário raiz da conta da AWS
Recomendamos que você siga a prática de segurança recomendada para habilitar a autenticação multifator (MFA) para a conta. Como o usuário raiz pode executar operações confidenciais em sua conta, adicionar uma camada extra de autenticação ajuda a proteger melhor sua conta. Vários tipos de MFA estão disponíveis. Recomendamos habilitar vários dispositivos com MFA para seu Usuário raiz da conta da AWS e usuários do IAM em suas Contas da AWS. Isso permite elevar os padrões de segurança de suas Contas da AWS, inclusive do Usuário raiz da conta da AWS. É possível registrar até oito dispositivos de MFA de qualquer combinação dos tipos de MFA atualmente compatíveis com seu Usuário raiz da conta da AWS e usuários do IAM.
Com vários dispositivos de MFA, é necessário apenas um dispositivo de MFA para acessar o AWS Management Console ou criar uma sessão usando a AWS CLI como esse usuário. Para obter mais informações, consulte Como utilizar um token de MFA para autenticar o acesso aos meus recursos da AWS por meio da AWS CLI?
Para obter mais informações sobre como habilitar a MFA, consulte o seguinte:
Criar chaves de acesso para o usuário raiz
Não é recomendável, mas você pode usar o AWS Management Console ou as ferramentas de programação da AWS para criar chaves de acesso para o usuário raiz.
Para criar uma chave de acesso para o Usuário raiz da conta da AWS (console)
-
Faça login no console do IAM
como proprietário da conta escolhendo Root user (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha. nota Como usuário raiz, você não pode acessar a página Fazer login como usuário do IAM. Ao visualizar a página de login de usuário do IAM, escolha a opção Fazer login usando o e-mail de usuário raiz, próximo à parte inferior da página. Para obter ajuda para fazer login como usuário raiz, consulte Fazer login no AWS Management Console como usuário raiz no Guia do usuário do Início de Sessão da AWS.
-
Escolha seu nome de conta na barra de navegação e depois escolha Security credentials (Credenciais de segurança).
-
Se você vir um aviso sobre o acesso às credenciais de segurança da Conta da AWS, selecione Continue to Security credentials (Prosseguir para credenciais de segurança).
-
Analise as alternativas. Não recomendamos criar chaves de acesso de usuário raiz. Se você optar por continuar criando uma chave de acesso, marque a caixa de seleção para indicar que entende que essa não é uma prática recomendada e escolha Create access key (Criar chave de acesso).
-
Na página Retrieve access key (Recuperar chave de acesso), escolha Show (Exibir) ou Download .csv file (Baixar arquivo.csv). Essa é a única oportunidade de salvar a chave de acesso secreta. Após salvar a chave de acesso secreta em um local seguro, escolha Done (Concluído).
Se você escolher Download .csv file (Baixar arquivo. csv), receberá um arquivo denominado
rootkey.csv
que contém o ID da chave de acesso e a chave secreta. Salve o arquivo em um lugar seguro. -
Quando você não usar mais a chave de acesso, recomendamos excluí-la ou, pelo menos, desativá-la escolhendo Actions (Ação) e Deactivate (Desativar) para que não seja mal utilizada.
Para criar uma chave de acesso para o usuário raiz (AWS CLI ou API da AWS)
Use uma das seguintes opções:
-
AWS CLI: aws iam create-access-key
-
API da AWS: CreateAccessKey
Excluir chaves de acesso do usuário raiz
Você pode usar o AWS Management Console para excluir as chaves de acesso para o usuário raiz.
-
Use o endereço de e-mail da conta da AWS e a senha para fazer login no AWS Management Console
como Usuário raiz da conta da AWS. nota Se vir três caixas de texto, significa que você já fez login no console com credenciais de usuário do IAM. Seu navegador pode se lembrar dessa preferência e abrir essa página de login específica da conta sempre que você tentar fazer login. Não é possível usar a página de login do usuário do IAM para fazer login como proprietário da conta. Se você vir a página de login de usuário do IAM, escolha a opção Sign in using root user email (Fazer login usando o e-mail de usuário raiz) perto da parte inferior da página. Isso faz você retornar à página de login principal. Nessa página, é possível fazer login como usuário raiz usando o endereço de e-mail e a senha da conta da AWS.
-
Escolha seu nome de conta na barra de navegação e depois escolha Security credentials (Credenciais de segurança).
-
Se você vir um aviso sobre o acesso às credenciais de segurança da Conta da AWS, selecione Continue to Security credentials (Prosseguir para credenciais de segurança).
-
Na tela seguinte, escolha Deactivate (Desativar). Isso desativará a chave de acesso. Recomendamos verificar se a chave de acesso não está mais em uso antes de excluí-la permanentemente. Para confirmar a exclusão, copie o ID da chave de acesso, cole o ID da chave de acesso no campo de entrada de texto e escolha Delete (Excluir).
Alterar a senha do usuário raiz
Para obter informações sobre alteração de senha do usuário raiz, consulte Alterar da senha do usuário raiz da Conta da AWS. Para alterar o usuário raiz, você deve fazer login usando as credenciais de usuário raiz. Para obter a lista completa das tarefas que exigem login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz na Referência geral da AWS Account Management.
Proteger as credenciais do usuário raiz
Para obter mais informações sobre como proteger as credenciais do Usuário raiz da conta da AWS, consulte Proteja suas credenciais de usuário raiz e não as use para tarefas diárias.
Transferir o proprietário do usuário raiz
Para transferir a propriedade do usuário raiz, consulte Como faço para transferir minha Conta da AWS para outra pessoa ou empresa?