Ao criar uma conta AWS, você automaticamente ganha acesso ao usuário root, uma identidade com acesso total a todos os recursos da conta. Justamente por isso, o uso do usuário root deve ser mínimo e altamente controlado.
Por que evitar o uso do usuário root?
O usuário root tem permissões irrestritas, e qualquer ação executada com ele pode causar impactos graves, desde alterações em faturas até exclusão de serviços essenciais. A recomendação oficial da AWS é: use o usuário root apenas quando for absolutamente necessário.
Boas práticas para proteger o usuário root
1. Use uma senha forte e única
No mínimo 8 caracteres
Use letras maiúsculas, minúsculas, números e símbolos
Evite usar nomes ou e-mails da conta
Utilize gerenciadores de senhas para armazenar com segurança
2. Habilite a autenticação multifator (MFA)
O MFA é a camada extra mais importante de segurança. Você pode registrar até 8 dispositivos MFA com o usuário root.
Opções disponíveis:
Aplicativos autenticadores (TOTP): como Google Authenticator
Tokens físicos (dispositivos de hardware)
Chaves de segurança FIDO2, como YubiKey
A AWS exige que a conta de gerenciamento tenha MFA habilitado em até 35 dias após o primeiro login.
3. Nunca crie chaves de acesso para o usuário root
Chaves de acesso são para automações. O usuário root não deve ser usado em scripts ou APIs. Para tarefas programáticas, crie usuários IAM ou use funções temporárias.
4. Use aprovação de múltiplas pessoas
Garanta que ninguém tenha acesso sozinho ao MFA e à senha do usuário root. Algumas empresas dividem o controle: um grupo detém a senha, outro o MFA.
5. Use e-mails de grupo
Utilize um e-mail corporativo gerenciado por grupo (ex: infra@empresa.com) para o usuário root. Isso garante acesso ao e-mail mesmo que um colaborador saia da empresa.
6. Tenha um plano de recuperação
Mantenha acesso à caixa de e-mail e número de telefone registrados
Evite que a mesma pessoa tenha acesso aos dois canais de recuperação
Documente e monitore o processo de recuperação de conta
Em ambientes com múltiplas contas (AWS Organizations)
Centralize e restrinja o uso de root nas contas de membros
Remova senha, chaves de acesso e MFA do root das contas de membros
Use políticas SCP para restringir ações do root
Crie usuários administrativos com acesso controlado via IAM Identity Cente
Monitore e alerte sobre o uso do usuário root
Utilize serviços para detecção e resposta rápida:
AWS CloudTrail: audita logins e ações do root
Amazon CloudWatch e EventBridge: crie alertas de login root
Amazon SNS: envie notificações para administradores
GuardDuty: alerta sobre uso suspeito das credenciais root
Avalie a conformidade com MFA e segurança do root
Ferramentas para verificação de conformidade:
AWS Config: regras gerenciadas para monitorar MFA e chaves do root
AWS Security Hub: painel unificado de segurança
AWS Trusted Advisor: recomendações de segurança, incluindo MFA para root
