# Usuário raiz da conta da AWS
<a name="id_root-user"></a>

Ao criar uma conta da Amazon Web Services (AWS) pela primeira vez, você começa com uma única identidade de login que tem acesso total a todos os produtos e recursos da AWS na conta. Essa identidade é chamada de *usuário raiz* da conta da AWS. O endereço de e-mail e a senha que você usou para criar sua Conta da AWS são as credenciais que você usa para fazer login como usuário-raiz.
+ Use o usuário-raiz apenas para executar as tarefas que exigem permissões de nível raiz. Para obter a lista completa das tarefas que exigem fazer login como usuário-raiz, consulte [Tarefas que exigem credenciais de usuário-raiz](#root-user-tasks). 
+ Siga as [Práticas recomendadas para o usuário-raiz para sua Conta da AWS](root-user-best-practices.md).
+ Se tiver problemas para iniciar uma sessão, consulte [Sign in to the Console de gerenciamento da AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html).

**Importante**  
É altamente recomendável não usar o usuário-raiz para tarefas diárias e seguir as [melhores práticas do usuário-raiz para suas Conta da AWS](root-user-best-practices.md). Proteja as credenciais do usuário-raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem fazer login como usuário-raiz, consulte [Tarefas que exigem credenciais de usuário-raiz](#root-user-tasks). 

Embora a MFA seja aplicada para usuários-raiz por padrão, ela exige uma ação do cliente para adicionar a MFA durante a criação inicial da conta, ou conforme solicitado durante o login. Para obter mais informações sobre como usar a MFA para proteger o usuário-raiz, consulte [Autenticação multifator para Usuário raiz da conta da AWS](enable-mfa-for-root.md).

## Gerencie centralmente o acesso raiz para contas-membro
<a name="id_root-user-access-management"></a>

Para ajudá-lo a gerenciar credenciais em grande escala, é possível proteger centralmente o acesso às credenciais de usuário-raiz para contas-membro no AWS Organizations. Ao habilitar o AWS Organizations, você combina todas as suas contas do AWS em uma organização para gerenciamento central. A centralização do acesso raiz permite que você remova as credenciais de usuário-raiz e execute as tarefas privilegiadas a seguir nas contas-membro.

**Remoção de credenciais de usuário-raiz de conta-membro**  
Depois de [centralizar o acesso raiz para contas-membro](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), será possível optar por excluir as credenciais de usuário-raiz das contas-membro no seu Organizations. Você pode remover a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativar a autenticação multifator (MFA). As novas contas que você criar no Organizations não terão credenciais de usuário-raiz por padrão. As contas-membro não podem fazer login com o usuário-raiz nem realizar a recuperação da senha do usuário-raiz, a menos que a recuperação de conta esteja habilitada.

**Realização de tarefas privilegiadas que exijam credenciais de usuário-raiz**  
Algumas tarefas poderão ser executadas apenas quando você fizer login como usuário-raiz de uma conta. Algumas dessas [Tarefas que exigem credenciais de usuário-raiz](#root-user-tasks) podem ser executadas pela conta de gerenciamento ou pelo administrador delegado do IAM. Para saber mais sobre como realizar ações privilegiadas em contas-membro, consulte [Execução de uma tarefa privilegiada](id_root-user-privileged-task.md).

**Habilitar a recuperação da conta do usuário-raiz**  
Se você precisar recuperar as credenciais de usuário-raiz de uma conta-membro, a conta de gerenciamento do Organizations ou o administrador delegado podem realizar a tarefa privilegiada **Permitir recuperação de senha**. A pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta-membro pode [redefinir a senha do usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) para recuperar as credenciais do usuário-raiz. Recomendamos excluir as credenciais de usuário-raiz depois de concluir a tarefa que requer acesso ao usuário-raiz.

## Tarefas que exigem credenciais de usuário-raiz
<a name="root-user-tasks"></a>

Recomendamos que [configurar um usuário administrativo no Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) para realizar tarefas diárias e acessar os recursos da AWS. Porém, as tarefas listadas abaixo podem ser executadas apenas quando você fizer login como o usuário-raiz de uma conta.

Para simplificar o gerenciamento de credenciais de usuário-raiz privilegiado em todas as contas-membro no AWS Organizations, é possível habilitar o acesso raiz centralizado para ajudá-lo a proteger centralmente o acesso altamente privilegiado às suas Contas da AWS. [Gerencie centralmente o acesso raiz para contas-membro](#id_root-user-access-management)permite que você remova centralmente e evite a recuperação de credenciais de usuário-raiz a longo prazo, melhorando a segurança da conta em sua organização. Depois que você habilitar esse atributo, poderá executar as tarefas privilegiadas a seguir nas contas-membro.
+ Remova as credenciais do usuário-raiz da conta-membro para evitar a recuperação da conta do usuário-raiz. Também é possível permitir a recuperação de senha para recuperar as credenciais de usuário-raiz para uma conta-membro.
+ Remova uma política de bucket mal configurada que negue a todas as entidades principais o acesso ao bucket do Amazon S3.
+ Exclua uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.

**Tarefas de gerenciamento de contas**
+ [Alterar as configurações da sua Conta da AWS.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) Contas da AWS autônomas que não fazem parte do AWS Organizations requerem credenciais de usuário-raiz para atualização do endereço de e-mail, da senha do usuário-raiz e das chaves de acesso do usuário-raiz. Outras configurações da conta, como nome da conta, informações de contato, contatos alternativos, preferência de moeda de pagamento e Regiões da AWS, não requerem credenciais de usuário-raiz.
**nota**  
O AWS Organizations, com todos os atributos habilitados, pode ser usado para gerenciar as configurações das contas de membros centralmente, na conta gerencial e nas contas de administrador delegado. Usuários ou perfis do IAM autorizados, tanto na conta gerencial quanto nas contas de administrador delegado, podem fechar as contas de membros e atualizar os endereços de e-mail, os nomes das contas, as informações de contato, os contatos alternativos e as Regiões da AWS das contas de membros. 
+ [Feche sua Conta da AWS.](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) Contas da AWS autônomas que não fazem parte do AWS Organizations requerem credenciais de usuário-raiz para serem fechadas. Com o AWS Organizations, você pode fechar as contas de membros centralmente, na conta gerencial e nas contas de administrador delegado.
+ [Restaurar permissões do usuário do IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) Se o único administrador do IAM revogar acidentalmente suas próprias permissões, será possível fazer login como o usuário-raiz para editar políticas e restaurar essas permissões.

**Tarefas de cobrança**
+ [Ativação do acesso do IAM ao console de Gerenciamento de Faturamento e Custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate).
+ Algumas tarefas de cobrança são limitadas ao usuário-raiz. Consulte [Gerenciando uma Conta da AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html) no Guia de usuário do AWS Billing para obter mais informações.
+ Exiba determinadas faturas de imposto. Um usuário do IAM com a permissão [aws-portal:ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) pode visualizar e fazer download de faturas de IVA da AWS Europa, mas não da AWS Inc. ou da Amazon Internet Services Private Limited (AISPL).

**AWS GovCloud (US)Tarefas do**
+ [Cadastre-se no AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html).
+ Solicitar as chaves de acesso do usuário-raiz da conta AWS GovCloud (US) ao AWS Support.

**Tarefa do Amazon EC2**
+ [Registrado como um vendedor](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html) no Marketplace de instâncias reservadas.

**AWS KMSTarefa do**
+ Caso uma chave do AWS Key Management Service perca o controle, um administrador poderá recuperá-la entrando em contato com o Suporte. No entanto, o Suporte responderá ao número de telefone principal do usuário-raiz para autorização confirmando a OTP do ticket.

**Tarefa do Amazon Mechanical Turk**
+  [Vincule sua Conta da AWS à sua conta do MTurk Requester](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking).

**Tarefas do Amazon Simple Storage Service**
+ [Configurar um bucket do Amazon S3 para habilitar a MFA (autenticação multifator)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html).
+ [Editar ou excluir uma política de bucket do Amazon S3 que negue todas as entidade principais](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/).

  Você pode usar ações privilegiadas para desbloquear um bucket do Amazon S3 com uma política de bucket mal configurada. Para obter detalhes, consulte [Execução de uma tarefa privilegiada em uma conta-membro do AWS Organizations](id_root-user-privileged-task.md).

**Tarefa do Amazon Simple Queue Service**
+ [Edite ou exclua uma política baseada em recurso do Amazon SQS que negue todas as entidade principais](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy).

  Você pode usar ações privilegiadas para desbloquear uma fila do Amazon SQS com uma política baseada em recursos mal configurada. Para obter detalhes, consulte [Execução de uma tarefa privilegiada em uma conta-membro do AWS Organizations](id_root-user-privileged-task.md).

## Recursos adicionais
<a name="id_root-user-resources"></a>

Para obter mais informações sobre o usuário-raiz da AWS, consulte os recursos a seguir:
+ Para obter ajuda com problemas do usuário-raiz, consulte [Solucionar problemas com o usuário-raiz](troubleshooting_root-user.md).
+ Para gerenciar centralmente os endereços de e-mail do usuário-raiz no AWS Organizations, consulte [Como atualizar o endereço de e-mail do usuário-raiz de uma conta do membro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) no *Guia do usuário do AWS Organizations*.

Os artigos a seguir fornecem informações adicionais sobre como trabalhar com o usuário-raiz.
+ [Quais são algumas das práticas recomendadas para proteger minha Conta da AWS e seus recursos?](https://repost.aws/knowledge-center/security-best-practices)
+ [Como posso criar uma regra de evento do EventBridge para me notificar se meu usuário-raiz for usado?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule) 
+ [Monitorar e notificar atividades do Usuário raiz da conta da AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [Monitorar a atividade do usuário-raiz do IAM](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)