AWSUsuário raiz de conta da
Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, você começa com uma única identidade que tem acesso total a todos os produtos e recursos da AWS na conta. Essa identidade é chamada de usuário root da conta da AWS. Você pode fazer login como usuário raiz usando o endereço de e-mail e a senha que usou para criar a conta.
É recomendável não usar o usuário raiz para suas tarefas diárias, nem mesmo para as administrativas. Em vez disso, siga as práticas recomendadas sobre utilização de usuário raiz somente para criar seu primeiro usuário do IAM. Depois, guarde as credenciais do usuário raiz em um lugar seguro e utilize-as para executar somente algumas tarefas de gerenciamento de contas e serviços. Para visualizar as tarefas que exigem que você faça login como usuário raiz, consulte Tarefas da AWS que exigem o usuário raiz. Para obter um tutorial sobre como configurar um administrador para uso diário, consulte Criar o seu primeiro usuário administrador e um grupo de usuários do IAM.
Você pode criar, girar, desabilitar ou excluir chaves de acesso (IDs de chave de acesso e chaves de acesso secretas) para seu usuário raiz da Conta da AWS. Você também pode alterar suaa senha de usuário raiz. Qualquer pessoa que tenha credenciais de usuário raiz para sua conta daAWS tem acesso irrestrito a todos os recursos de sua conta, incluindo informações de faturamento.
Quando você cria chaves de acesso, o ID da chave de acesso e a chave de acesso secreta são criados como um conjunto. Durante a criação de chaves de acesso, a AWS oferece a você uma oportunidade de visualizar e fazer download da chave de acesso secreta que faz parte de uma chave de acesso. Se não fizer o download ou perdê-lo, você pode excluir a chave de acesso e, em seguida, criar uma nova. Você pode criar chaves de acesso de usuário raiz com o console do IAM
Uma chave de acesso recém-criada tem o status de ativo, o que significa que você pode usar a chave de acesso para chamadas de API e CLI. Você possui um limite de duas chaves de acesso para cada usuário do IAM, o que é útil quando você deseja alternar as chaves de acesso. Você também pode atribuir até duas chaves de acesso ao usuário raiz. Se uma chave de acesso for desativada, ela não poderá ser usada para chamadas de API. As chaves inativas ainda contam para o seu limite. Você pode criar ou excluir uma chave de acesso a qualquer momento. No entanto, se uma chave de acesso for excluída, isto será definitivo, e não poderá ser recuperada.
Você pode alterar o endereço de e-mail e a senha na página Credenciais de segurança
Tarefas
Criar ou excluir uma conta da AWS
Para obter mais informações, consulte os seguintes artigos na Central de Conhecimento da AWS:
Habilitar MFA no usuário raiz da conta da AWS
Recomendamos que você siga a prática de segurança recomendada para habilitar a autenticação multifator (MFA) para a conta. Como o usuário raiz pode executar operações confidenciais em sua conta, adicionar uma camada extra de autenticação ajuda a proteger melhor sua conta. Vários tipos de MFA estão disponíveis. Para obter mais informações sobre como habilitar a MFA, consulte o seguinte:
Criar chaves de acesso para o usuário raiz
Você pode usar o AWS Management Console ou as ferramentas de programação da AWS para criar chaves de acesso para o usuário raiz.
Para criar uma chave de acesso para o usuário raiz da Conta da AWS (console)
-
Faça login no console do IAM
como proprietário da conta escolhendo Root user (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha. nota Se vir três caixas de texto, significa que você já fez login no console com credenciais de usuário do IAM. Seu navegador pode se lembrar dessa preferência e abrir essa página de login específica da conta sempre que você tentar fazer login. Não é possível usar a página de login do usuário do IAM para fazer login como proprietário da conta. Se você vir a página de login de usuário do IAM, escolha a opção Sign in using root user email (Fazer login usando o e-mail de usuário raiz) perto da parte inferior da página. Isso faz você retornar à página de login principal. Nessa página, é possível fazer login como usuário raiz usando o endereço de e-mail e a senha da Conta da AWS.
-
Escolha seu nome de conta na barra de navegação, e depois escolha Minhas credenciais de segurança.
-
Se você vir um aviso sobre o acesso às credenciais de segurança da sua conta da AWS, selecione Continue to Security Credentials (Prosseguir para credenciais de segurança).
-
Expanda a seção Chaves de acesso (ID de chave de acesso e chave de acesso secreta).
-
Selecione Criar nova chave de acesso. Se esse recurso estiver desabilitado, você deverá excluir uma das chaves de acesso existentes antes de criar outra chave. Para obter mais informações, consulte Limites de objeto de entidade do IAM no Guia do usuário do IAM.
Um aviso explica que você tem apenas esta oportunidade para visualizar ou fazer download da chave de acesso secreta. Ela não poderá ser recuperada posteriormente.
-
Se você escolher Mostrar chave de acesso, poderá copiar o ID da chave de acesso e a chave secreta da janela do navegador e colá-la em outro lugar.
-
Se você escolher Fazer download do arquivo de chave, receberá um arquivo denominado
rootkey.csvque contém o ID da chave de acesso e a chave secreta. Salve o arquivo em um lugar seguro.
-
-
Quando você não usar mais a chave de acesso, recomendamos que a exclua ou, pelo menos, marque-a como inativa escolhendo Tornar inativo para que não seja mal utilizada.
Para criar uma chave de acesso para o usuário raiz (AWS CLI ou API da AWS)
Use uma das seguintes opções:
-
AWS CLI: aws iam create-access-key
-
API da AWS: CreateAccessKey
Excluir chaves de acesso do usuário raiz
Você pode usar o AWS Management Console para excluir as chaves de acesso para o usuário raiz.
-
Use o endereço de e-mail da conta da AWS e a senha para fazer login no AWS Management Console
como usuário raiz da Conta da AWS. nota Se vir três caixas de texto, significa que você já fez login no console com credenciais de usuário do IAM. Seu navegador pode se lembrar dessa preferência e abrir essa página de login específica da conta sempre que você tentar fazer login. Não é possível usar a página de login do usuário do IAM para fazer login como proprietário da conta. Se você vir a página de login de usuário do IAM, escolha a opção Sign in using root user email (Fazer login usando o e-mail de usuário raiz) perto da parte inferior da página. Isso faz você retornar à página de login principal. Nessa página, é possível fazer login como usuário raiz usando o endereço de e-mail e a senha da conta da AWS.
-
Escolha seu nome de conta na barra de navegação, e depois escolha Minhas credenciais de segurança.
-
Se você vir um aviso sobre o acesso às credenciais de segurança da sua conta da AWS, selecione Continue to Security Credentials (Prosseguir para credenciais de segurança).
-
Expanda a seção Chaves de acesso (ID de chave de acesso e chave de acesso secreta).
-
Encontre a chave de acesso que deseja excluir e, na coluna Ações, escolha Excluir.
nota Você pode marcar uma chave de acesso como inativa, em vez de excluí-la. Isso permite que você retome o uso dela futuramente sem a necessidade de alterar o ID de chave ou a chave secreta. Enquanto ela estiver inativa, todas as tentativas de usá-la em solicitações para a API da AWS falham com o status de acesso negado.
Alterar a senha do usuário raiz
Para obter informações sobre como alterar a senha do usuário raiz, consulte Alteração da senha do usuário raiz da conta da AWS. Para alterar o usuário raiz, você deve fazer login usando as credenciais de usuário raiz. Para visualizar as tarefas que exigem que você faça login como usuário raiz, consulte Tarefas da AWS que exigem o usuário raiz
Proteger as credenciais do usuário raiz
Para obter mais informações sobre como proteger as credenciais do usuário raiz da Conta da AWS, consulte Proteja suas credenciais de usuário raiz e não as use para tarefas diárias.
Transferir o proprietário do usuário raiz
Para transferir a propriedade do usuário raiz, consulte Como faço para transferir minha conta da AWS para outra pessoa ou empresa?
