Antes de falarmos sobre o usuário root na AWS, é essencial destacar um ponto importante: não utilize o usuário root para tarefas diárias. Em vez disso, siga as melhores práticas para proteger suas credenciais e utilize-as apenas para ações essenciais que exigem privilégios administrativos.
A seguir, apresentamos uma lista completa de tarefas que exigem o login como usuário root.
Tarefas que exigem credenciais do usuário root
Gerenciamento de contas
- Alteração de configurações da conta (nome, e-mail, senha do usuário root e chaves de acesso).
- Restauração de permissões revogadas acidentalmente para usuários do IAM.
- Fechamento da conta AWS.
Tarefas de cobrança
- Ativação do acesso do IAM ao Console de Gerenciamento de Faturamento e Custos.
- Visualização de faturas fiscais específicas (ex.:AWS Europa).
Tarefas do AWS GovCloud (US)
- Inscrição na AWS GovCloud (US).
- Solicitação de chaves de acesso root para a AWS GovCloud (US) junto ao suporte AWS.
Tarefas do Amazon EC2
- Registro como vendedor no Marketplace de Instâncias Reservadas.
Tarefas do AWS KMS
- Recuperação de chaves do AWS Key Management Service (KMS) ao perder controle sobre elas (via suporte AWS).
Tarefas do Amazon Mechanical Turk
- Vinculação da conta AWS à conta do MTurk Requester.
Tarefas do Amazon S3
- Configuração de um bucket do Amazon S3 com autenticação multifator (MFA).
- Edição ou exclusão de políticas de bucket que neguem acesso a todas as entidades principais.
Tarefas do Amazon SQS
- Edição ou exclusão de políticas baseadas em recursos que neguem acesso a todas as entidades principais.
Gerenciamento Seguro de Credenciais Root na AWS Organizations
Para gerenciar credenciais em escala, recomenda-se proteger centralmente o acesso root dentro do AWS Organizations. Ao ativar esse serviço, você pode combinar diversas contas AWS em uma única organização para gerenciamento centralizado.
Remoção de credenciais root em contas-membro
Após centralizar o acesso root, é possível excluir credenciais root das contas-membro. Isso inclui:
- Remoção da senha do usuário root.
- Exclusão de chaves de acesso.
- Revogação de certificados de assinatura.
- Desativação da autenticação multifator (MFA).
Novas contas criadas no AWS Organizations não possuem credenciais de usuário root por padrão. Contas-membro não podem acessar o usuário root ou redefinir a senha, a menos que a recuperação de conta esteja ativada.
Execução de Tarefas Privilegiadas
Algumas tarefas exigem credenciais de usuário root. No entanto, a conta de gerenciamento ou um administrador delegado do IAM pode realizar algumas dessas ações privilegiadas. Para mais detalhes, consulte a documentação sobre Execução de Tarefas Privilegiadas na AWS.
Habilitação da Recuperação de Conta Root
Caso seja necessário recuperar as credenciais root de uma conta-membro, a conta de gerenciamento ou um administrador delegado pode permitir a recuperação de senha. O usuário com acesso ao e-mail root da conta-membro pode então redefinir a senha.
Recomendação: Após concluir qualquer tarefa que exija o usuário root, remova novamente suas credenciais para evitar riscos de segurança.
Para mais informações, consulte os seguintes recursos:
📌 Solução de problemas com o usuário root
📌 Gerenciamento centralizado de e-mails root no AWS Organizations
