Melhores Práticas para o Usuário Root da AWS: Proteja sua Conta!

Ao criar uma conta AWS, você automaticamente ganha acesso ao usuário root, uma identidade com acesso total a todos os recursos da conta. Justamente por isso, o uso do usuário root deve ser mínimo e altamente controlado.

Por que evitar o uso do usuário root?

O usuário root tem permissões irrestritas, e qualquer ação executada com ele pode causar impactos graves, desde alterações em faturas até exclusão de serviços essenciais. A recomendação oficial da AWS é: use o usuário root apenas quando for absolutamente necessário.

Boas práticas para proteger o usuário root
1. Use uma senha forte e única
  • No mínimo 8 caracteres

  • Use letras maiúsculas, minúsculas, números e símbolos

  • Evite usar nomes ou e-mails da conta

Utilize gerenciadores de senhas para armazenar com segurança

2. Habilite a autenticação multifator (MFA)

O MFA é a camada extra mais importante de segurança. Você pode registrar até 8 dispositivos MFA com o usuário root.

Opções disponíveis:

  • Aplicativos autenticadores (TOTP): como Google Authenticator

  • Tokens físicos (dispositivos de hardware)

  • Chaves de segurança FIDO2, como YubiKey

A AWS exige que a conta de gerenciamento tenha MFA habilitado em até 35 dias após o primeiro login.

3. Nunca crie chaves de acesso para o usuário root

Chaves de acesso são para automações. O usuário root não deve ser usado em scripts ou APIs. Para tarefas programáticas, crie usuários IAM ou use funções temporárias.

4. Use aprovação de múltiplas pessoas

Garanta que ninguém tenha acesso sozinho ao MFA e à senha do usuário root. Algumas empresas dividem o controle: um grupo detém a senha, outro o MFA.

5. Use e-mails de grupo

Utilize um e-mail corporativo gerenciado por grupo (ex: infra@empresa.com) para o usuário root. Isso garante acesso ao e-mail mesmo que um colaborador saia da empresa.

6. Tenha um plano de recuperação
  • Mantenha acesso à caixa de e-mail e número de telefone registrados

  • Evite que a mesma pessoa tenha acesso aos dois canais de recuperação

Documente e monitore o processo de recuperação de conta

Em ambientes com múltiplas contas (AWS Organizations)

 Centralize e restrinja o uso de root nas contas de membros

  • Remova senha, chaves de acesso e MFA do root das contas de membros

  • Use políticas SCP para restringir ações do root

Crie usuários administrativos com acesso controlado via IAM Identity Cente

Monitore e alerte sobre o uso do usuário root

Utilize serviços para detecção e resposta rápida:

  • AWS CloudTrail: audita logins e ações do root

  • Amazon CloudWatch e EventBridge: crie alertas de login root

  • Amazon SNS: envie notificações para administradores

GuardDuty: alerta sobre uso suspeito das credenciais root

Avalie a conformidade com MFA e segurança do root

Ferramentas para verificação de conformidade:

  • AWS Config: regras gerenciadas para monitorar MFA e chaves do root

  • AWS Security Hub: painel unificado de segurança

AWS Trusted Advisor: recomendações de segurança, incluindo MFA para root

Resumo Rápido das Práticas Recomendadas:

Ação Recomendado?
Uso frequente do root ❌ Nunca
Chave de acesso para root ❌ Nunca
MFA habilitado para root ✅ Sempre
E-mail de grupo para root ✅ Sim
Login com múltiplas aprovações ✅ Sim
Monitoramento de uso root ✅ Sim
Separação de recuperação por canal ✅ Sim

Cursos e treinamentos

 

Compartilhe esse conteúdo