# Gerenciamento e separação de contas da AWS
<a name="aws-account-management-and-separation"></a>

Recomendamos que organizar workloads em contas separadas e contas de grupo com base na função, nos requisitos de conformidade ou em um conjunto comum de controles, em vez de espelhar a estrutura hierárquica da sua organização. Na AWS, as contas são um limite rígido. Por exemplo, a separação no nível da conta é altamente recomendada para isolar as workloads de produção das de desenvolvimento e teste. 

 **Gerencie contas de maneira centralizada**: o AWS Organizations [automatiza a criação e o gerenciamento de contas da AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html), além do controle dessas contas após sua criação. Quando você cria uma conta por meio do AWS Organizations, é importante considerar o endereço de e-mail usado, pois esse será o usuário-raiz que permite que a senha seja redefinida. O Organizations permite agrupar contas em [unidades organizacionais (UOs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html), que podem representar ambientes diferentes com base nos requisitos e na finalidade da workload. 

 **Defina controles centralmente:** controle o que suas contas da AWS podem fazer, permitindo apenas serviços, Regiões e ações de serviço específicos no nível apropriado. O AWS Organizations permite usar políticas de controle de serviços (SCPs) para aplicar barreiras de proteção de permissão em nível de organização, unidade organizacional ou conta, que se aplicam a todos os usuários e perfis do [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM). Por exemplo, você pode aplicar uma SCP que restrinja os usuários de iniciar recursos em regiões que você não tenha permitido explicitamente. O AWS Control Tower oferece uma maneira simplificada de configurar e controlar várias contas. Ele automatiza a configuração de contas no AWS Organizations, automatiza o provisionamento, aplica [barreiras de proteção](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) (que incluem prevenção e detecção) e fornece um painel para visibilidade. 

 **Configure serviços e recursos de maneira centralizada**: o AWS Organizations ajuda você a configurar [serviços da AWS](https://aws.amazon.com/organizations/features/) que se aplicam a todas as suas contas. Por exemplo, você pode configurar o registro em log centralizado de todas as ações executadas em toda a organização usando o [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) e impedir que as contas-membro desativem o registro em log. Também é possível agregar dados de maneira centralizada para regras definidas usando o [AWS Config](https://aws.amazon.com/config/), o que permite auditar workloads quanto à conformidade e reagir rapidamente a alterações. AWS CloudFormation Os [StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) permitem que você gerencie centralmente pilhas do AWS CloudFormation entre contas e UOs na sua organização. Isso permite provisionar automaticamente uma nova conta para atender aos seus requisitos de segurança. 

Use o recurso de administração delegada dos serviços de segurança para separar as contas usadas para gerenciamento da conta de faturamento organizacional (gerenciamento). Vários serviços da AWS, como GuardDuty, Security Hub e AWS Config, oferecem compatibilidade com integrações com o AWS Organizations, incluindo a designação de uma conta específica para funções administrativas.

**Topics**
+ [SEC01-BP01 Separar as workloads usando contas](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Proteger as propriedades e o usuário-raiz das contas](sec_securely_operate_aws_account.md)

# SEC01-BP01 Separar as workloads usando contas
<a name="sec_securely_operate_multi_accounts"></a>

 Estabeleça barreiras de proteção e isolamento entre workloads e ambientes (como de produção, desenvolvimento e teste) por meio de uma estratégia de várias contas. A separação em nível de conta é altamente recomendável, pois ela oferece um limite de isolamento robusto para segurança, faturamento e acesso. 

**Resultado desejado:** uma estrutura de contas que isola operações em nuvem, workloads não relacionadas e ambientes em contas separadas, aumentando a segurança em toda a infraestrutura de nuvem.

**Práticas comuns que devem ser evitadas:**
+  Colocação de várias workloads não relacionadas com diferentes níveis de confidencialidade na mesma conta.
+  Estrutura de unidade organizacional (UO) definida de forma inadequada.

**Benefícios de implementar esta prática recomendada:**
+  Redução do escopo de impacto se uma workload for acessada acidentalmente.
+  Governança central de acesso a serviços, recursos e regiões da AWS.
+  Manutenção da segurança da infraestrutura de nuvem com políticas e administração centralizada de serviços de segurança.
+  Criação de contas automatizada e processo de manutenção.
+  Auditoria centralizada da infraestrutura de conformidade e requisitos regulatórios.

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 As Contas da AWS oferecem um limite de isolamento de segurança entre workloads ou recursos que operam em diferentes níveis de confidencialidade. Para utilizar esse limite de isolamento, a AWS oferece ferramentas para gerenciar em grande escala suas workloads de nuvem por meio de uma estratégia de várias contas. Para obter orientação sobre os conceitos, padrões e implementação de uma estratégia de várias contas na AWS, consulte [Organizar seu ambiente da AWS usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html). 

 Quando você tem várias Contas da AWS no gerenciamento central, elas devem ser organizadas em uma hierarquia definida por camadas de unidades organizacionais (UOs). Desse modo, os controles de segurança podem ser organizados e aplicados às UOs e às contas-membro, estabelecendo controles preventivos consistentes nas contas-membro da organização. Os controles de segurança são herdados, permitindo que você filtre as permissões disponíveis para as contas-membro localizadas em níveis inferiores de uma hierarquia de UOs. Um bom design aproveita essa herança para reduzir o número e a complexidade das políticas de segurança necessárias para obter os controles de segurança desejados para cada conta-membro. 

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) e [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) são dois serviços que podem ser usados para implementar e gerenciar essa estrutura de várias contas em seu ambiente da AWS. O AWS Organizations permite que você organize contas em uma hierarquia definida por uma ou mais camadas de UOs, onde cada UO contém várias contas-membro. As [políticas de controle de serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCPs) permitem que o administrador da organização estabeleça controles preventivos granulares nas contas-membro, e o [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) pode ser usado para estabelecer controles proativos e de detetive nas contas-membro. Muitos serviços da AWS [se integram ao AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) para fornecer controles administrativos delegados e realizar tarefas específicas do serviço em todas as contas-membro da organização. 

 Em cima do AWS Organizations, o [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) fornece uma configuração de práticas recomendadas com um clique para um ambiente da AWS de várias contas com uma [zona de pouso](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). A zona de pouso é o ponto de entrada para o ambiente de várias contas estabelecido pelo Control Tower. O Control Tower oferece vários [benefícios](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) em relação ao AWS Organizations. Três benefícios que oferecem governança aprimorada de contas são: 
+  Controles de segurança obrigatórios e integrados que são aplicados automaticamente às contas admitidas na organização. 
+  Controles opcionais que podem ser ativados ou desativados em determinado conjunto de UOs. 
+  O [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) fornece implantação automatizada de contas contendo linhas de base e opções de configuração pré-aprovadas em sua organização. 

 **Etapas de implementação** 

1.  **Projete uma estrutura de unidade organizacional:** uma estrutura de unidade organizacional projetada adequadamente reduz a carga de gerenciamento necessária para criar e manter políticas de controle de serviços e outros controles de segurança. A estrutura da unidade organizacional deve estar [alinhada às necessidades da empresa, à sensibilidade dos dados e à estrutura da workload](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/). 

1.  **Crie uma zona de pouso para seu ambiente de várias contas:** uma zona de pouso fornece uma base consistente de segurança e infraestrutura a partir da qual sua organização pode desenvolver, lançar e implantar workloads rapidamente. Você pode usar uma [zona de pouso personalizada ou o AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) para orquestrar seu ambiente. 

1.  **Estabeleça barreiras de proteção:** implemente proteções de segurança consistentes para seu ambiente em sua zona de pouso. O AWS Control Tower fornece uma lista de controles [obrigatórios](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) e [opcionais](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) que podem ser implantados. Os controles obrigatórios são implantados automaticamente na implementação do Control Tower. Leia a lista de controles opcionais e altamente recomendados e implemente controles adequados às suas necessidades. 

1.  **Restrinja o acesso a regiões recém-adicionadas**: para novas Regiões da AWS, recursos do IAM como usuários e perfis são propagados somente para as regiões que você especificar. Essa ação pode ser executada por meio do [console ao usar o Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html) ou ajustando as [políticas de permissão do IAM no AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/). 

1.  **Considere o AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)**: o StackSets ajuda a implantar recursos, incluindo políticas, perfis e grupos do IAM, em diferentes contas e regiões da Contas da AWS por meio de um modelo aprovado. 

## Recursos
<a name="resources"></a>

**Práticas recomendadas relacionadas:** 
+ [SEC02-BP04 Confiar em um provedor de identidades centralizado](sec_identities_identity_provider.md)

**Documentos relacionados:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Diretrizes de auditoria de segurança da](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Usar o CloudFormation StackSets para provisionar recursos em várias regiões e Contas da AWS](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) 
+  [Perguntas frequentes sobre o Organizations](https://aws.amazon.com/organizations/faqs/) 
+  [AWS Organizations Terminologia e conceitos do](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) 
+  [Práticas recomendadas para Políticas de controle de serviços do AWS Organizations em um ambiente com várias contas](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) 
+  [Guia de referência de gerenciamento de contas da AWS](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) 
+  [Organizar seu ambiente da AWS usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 

**Vídeos relacionados:** 
+  [Permitir a adoção da AWS em escala por meio de automação e governança](https://youtu.be/GUMSgdB-l6s) 
+  [Práticas recomendadas de segurança à maneira do Well-Architected](https://youtu.be/u6BCVkXkPnM) 
+  [Criar e gerenciar várias contas usando o AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo) 
+  [Habilitar o Control Tower para organizações existentes](https://www.youtube.com/watch?v=CwRy0t8nfgM) 

# SEC01-BP02 Proteger as propriedades e o usuário-raiz das contas
<a name="sec_securely_operate_aws_account"></a>

 O usuário-raiz é o mais privilegiado de uma Conta da AWS, com acesso administrativo integral a todos os recursos da conta, e em alguns casos não pode ser restringido por políticas de segurança. Desabilitar o acesso programático ao usuário-raiz, estabelecer controles apropriados para ele e evitar o uso rotineiro desse usuário ajuda a reduzir o risco de exposição acidental das credenciais raiz e o subsequente comprometimento do ambiente de nuvem. 

**Resultado desejado:** proteger o usuário-raiz ajuda a reduzir a chance de que danos acidentais ou intencionais ocorram devido ao uso indevido das credenciais do usuário-raiz. Estabelecer controles de detecção também pode alertar o pessoal apropriado ações são postas em prática com o usuário-raiz.

**Práticas comuns que devem ser evitadas:**
+  Utilizar o usuário-raiz para outras tarefas que não sejam aquelas que exigem credenciais do usuário-raiz.  
+  Negligenciar os testes dos planos de contingência regularmente a fim de verificar a funcionalidade da infraestrutura, dos processos e dos funcionários essenciais durante uma emergência. 
+  Considerar apenas o fluxo típico de login de contas e não considerar nem testar métodos de recuperação de contas alternativos. 
+  Não lidar com DNS, servidores de e-mail e operadoras de telefonia como parte do perímetro de segurança essencial, pois eles são usados no fluxo de recuperação de contas. 

 **Benefícios de implementar esta prática recomendada:** proteger o acesso ao usuário-raiz aumenta a confiança de que as ações em sua conta são controladas e auditadas. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 A AWS oferece muitas ferramentas para ajudar a proteger sua conta. No entanto, como algumas dessas medidas não estão habilitadas por padrão, é necessário implementá-las diretamente. Leve em consideração essas recomendações como etapas fundamentais para proteger sua Conta da AWS. Ao implementar essas etapas, é importante criar um processo para avaliar e monitorar os controles de segurança de forma contínua. 

 Ao criar uma Conta da AWS pela primeira vez, você começa com uma identidade que tem acesso completo a todos os recursos e serviços da AWS na conta. Essa identidade é chamada de usuário-raiz da Conta da AWS. Você pode fazer login como usuário-raiz usando o endereço de e-mail e a senha que usou para criar a conta. Devido ao acesso elevado concedido ao usuário-raiz da AWS, limite o uso do usuário-raiz da AWS à realização de tarefas que o [necessitem especificamente dele](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). As credenciais de login do usuário-raiz devem ser bem protegidas, e a autenticação multifator (MFA) sempre deve ser usada para o usuário-raiz da Conta da AWS. 

 Além do fluxo de autenticação normal para fazer login com seu usuário-raiz usando um nome de usuário, senha e o dispositivo de autenticação multifator (MFA), há fluxos de recuperação de contas para fazer login com seu usuário-raiz da Conta da AWS com o endereço de e-mail e o número de telefone associados à sua conta. Dessa forma, é igualmente importante proteger a conta de e-mail do usuário-raiz para a qual o e-mail de recuperação é enviado e o número de telefone associado à conta. Além disso, considere possíveis dependências circulares em que o endereço de e-mail associado ao usuário-raiz é hospedado em servidores de e-mail ou recursos de serviço de nome de domínio (DNS) da mesma Conta da AWS. 

 Quando o AWS Organizations é usado, há várias Contas da AWS, e cada uma tem um usuário-raiz. Uma conta é designada como a conta de gerenciamento e várias camadas de contas-membro podem ser adicionadas à conta de gerenciamento. Priorize a proteção do usuário-raiz de sua conta de gerenciamento e, depois, os usuários-raiz das contas-membro. A estratégia para proteger o usuário-raiz de sua conta de gerenciamento pode diferir da utilizada nos usuários raiz de suas contas-membro, e é possível implementar controles de segurança preventivos nos usuários-raiz dessas contas. 

 **Etapas de implementação** 

 As etapas de implementação a seguir são recomendadas para estabelecer controles para o usuário-raiz. Onde aplicável, as recomendações são cruzadas com o [CIS AWS Foundations Benchmark versão 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html). Além dessas etapas, consulte as [diretrizes de práticas recomendadas do AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) para proteger sua Conta da AWS e seus recursos. 

 **Controles preventivos** 

1.  Configure [informações de contato](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) precisas para a conta. 

   1.  Essas informações são usadas para o fluxo de recuperação de senha perdida, o fluxo de recuperação de conta de dispositivo MFA perdida e para comunicações com sua equipe sobre segurança crítica. 

   1.  Utilize um endereço de e-mail hospedado por seu domínio corporativo, preferencialmente uma lista de distribuição, como o endereço de e-mail do usuário-raiz. O uso de uma lista de distribuição em vez da conta de e-mail de um indivíduo oferece redundância e continuidade adicionais para o acesso à conta raiz por longos períodos. 

   1.  O número de telefone listado nas informações de contato deve ser um telefone dedicado e seguro para esse fim. O número de telefone não deve ser listado nem compartilhado com ninguém. 

1.  Não crie chaves de acesso para o usuário-raiz. Se houver chaves de acesso, remova-as (CIS 1.4). 

   1.  Elimine todas as credenciais programáticas de longa duração (chaves de acesso e secretas) para o usuário-raiz. 

   1.  Se as chaves de acesso do usuário-raiz já existirem, você deverá fazer a transição dos processos usando essas chaves para usar chaves de acesso temporárias de um pefil do AWS Identity and Access Management (IAM) e, em seguida, [excluir as chaves de acesso do usuário-raiz](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key). 

1.  Determine se você precisa armazenar credenciais para o usuário-raiz. 

   1.  Ao usar o AWS Organizations para criar contas-membro, a senha inicial do usuário-raiz em novas contas-membro é definida como um valor aleatório que não é exposto a você. Considere usar o fluxo de redefinição de senha da sua conta de gerenciamento do AWS Organizations para [obter acesso à conta-membro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root), se necessário. 

   1.  Para Contas da AWS autônomas ou a conta de gerenciamento do AWS Organizations, considere criar e armazenar de forma segura as credenciais do usuário-raiz. Use MFA para o usuário-raiz 

1.  Ative os controles preventivos para os usuários-raiz das contas-membro em ambientes de várias contas da AWS. 

   1.  Considere usar a barreira de proteção [Não permitir a criação de chaves de acesso raiz para o usuário-raiz](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) para contas-membro. 

   1.  Considere usar a barreira de proteção [Não permitir ações como o usuário-raiz](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) para contas-membro. 

1.  Se você precisar de credenciais para o usuário-raiz: 

   1.  Use uma senha complexa. 

   1.  Ative a autenticação multifator (MFA) para o usuário-raiz, especialmente para contas (pagantes) de gerenciamento do AWS Organizations (CIS 1.5). 

   1.  Considere o uso de dispositivos de MFA de hardware para ter resiliência e segurança, pois os dispositivos de uso único reduzem as chances de os dispositivos que contêm seus códigos de MFA serem reutilizados para outros fins. Garanta que os dispositivos de MFA de hardware alimentados por bateria sejam substituídos regularmente. (CIS 1.6) 
      +  Para configurar a MFA para o usuário-raiz, siga as instruções para criar uma [MFA virtual](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) ou um [dispositivo com MFA de hardware](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root). 

   1.  Considere inscrever vários dispositivos de MFA para backup. [Até 8 dispositivos de MFA são permitidos por conta.](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/) 
      +  Observe que a inscrição de mais de um dispositivo de MFA para o usuário-raiz desativa automaticamente o [fluxo para recuperar sua conta se o dispositivo de MFA](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/) for perdido. 

   1.  Armazene a senha com segurança e considere as dependências circulares se for armazenar a senha eletronicamente. Não armazene a senha de uma forma que exija o acesso à mesma Conta da AWS para obtê-la. 

1.  Opcional: considere estabelecer um cronograma de rotação de senha periódica para o usuário-raiz. 
   +  As práticas recomendadas de gerenciamento de credenciais dependem de seus requisitos regulatórios e de política. Os usuários-raiz protegidos por MFA não dependem da senha como um único fator de autenticação. 
   +  [Alterar a senha do usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html) periodicamente reduz o risco de que uma senha exposta inadvertidamente possa ser usada indevidamente. 

 **Controles de detecção** 
+  Crie alarmes para detectar o uso das credenciais de usuário-raiz (CIS 1.7). O [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) [pode monitorar e alertar sobre o uso da credencial da API do usuário-raiz por meio da descoberta RootCredentialUsage.](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 
+  Avalie e implemente os controles de detecção incluídos no [pacote de conformidade do pilar Segurança do AWS Well-Architected para o AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) ou, se estiver usando o AWS Control Tower, os [controles altamente recomendados](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html) disponíveis no Control Tower. 

 **Orientação operacional** 
+  Determine quem na organização deve ter acesso às credenciais do usuário-raiz. 
  +  Use uma regra de duas pessoas de forma que um indivíduo tenha acesso a todas as credenciais necessárias e MFA para obter acesso de usuário-raiz. 
  +  Verifique se é a organização, e não um único indivíduo, que mantém controle sobre o número de telefone e alias de e-mail associados à conta (que são utilizados para redefinição de senha e fluxo de redefinição de MFA). 
+  Utilize o usuário-raiz apenas como uma exceção (CIS 1.7). 
  +  O usuário-raiz da AWS não deve ser usado para tarefas diárias, mesmo que sejam tarefas administrativas. Faça login somente como usuário-raiz para realizar [tarefas da AWS que exijam o usuário-raiz](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Todas as outras ações devem ser realizadas por outros usuários com perfis apropriados. 
+  Confira periodicamente se o acesso ao usuário-raiz está funcionando de forma que os procedimentos sejam testados antes de uma situação de emergência que exija o uso das credenciais do usuário-raiz. 
+  Verifique periodicamente se o endereço de e-mail associado à conta e os listados em [Contatos alternativos](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) funcionam. Monitore as caixas de entrada de e-mail em busca de notificações de segurança que poderia receber de abuse@amazon.com. Além disso, garanta que todos os números de telefone associados à conta estejam funcionando. 
+  Prepare um procedimento de resposta a incidentes para responder ao mau uso da conta de usuário-raiz. Consulte o [Guia de resposta a incidentes de segurança da AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) e as práticas recomendadas na [seção Resposta a Incidentes do whitepaper Pilar Segurança](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) para obter mais informações sobre como criar uma estratégia de resposta a incidentes para sua Conta da AWS. 

## Recursos
<a name="resources"></a>

**Práticas recomendadas relacionadas:** 
+ [SEC01-BP01 Separar as workloads usando contas](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Usar mecanismos de início de sessão fortes](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Conceder acesso de privilégio mínimo](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Estabelecer processo de acesso de emergência](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Provisionar acesso previamente](sec_incident_response_pre_provision_access.md)

**Documentos relacionados:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Diretrizes de auditoria de segurança da](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Amazon GuardDuty — alerta de uso da credencial de usuário-raiz](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 
+  [Orientação passo a passo sobre o monitoramento do uso da credencial de usuário-raiz via CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-20) 
+  [Tokens MFA aprovados para uso com o AWS](https://aws.amazon.com/iam/features/mfa/) 
+  Implementar o [acesso de emergência](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) na AWS 
+  [Os 10 principais itens de segurança para melhorar em sua Conta da AWS](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/) 
+  [O que devo fazer se perceber uma atividade não autorizada em minha Conta da AWS?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

**Vídeos relacionados:** 
+  [Permitir a adoção da AWS em escala por meio de automação e governança](https://youtu.be/GUMSgdB-l6s) 
+  [Práticas recomendadas de segurança à maneira do Well-Architected](https://youtu.be/u6BCVkXkPnM) 
+  [Limitar o uso de credenciais de usuário-raiz da AWS](https://youtu.be/SMjvtxXOXdU?t=979): AWS re:inforce 2022: Práticas recomendadas de segurança com o AWS IAM