# Centralização de acesso raiz para contas-membro
<a name="id_root-enable-root-access"></a>

As credenciais de usuário-raiz são as credenciais iniciais atribuídas a cada Conta da AWS que tenha acesso completo a todos os serviços e recursos da AWS na conta. Ao habilitar o AWS Organizations, você combina todas as suas contas do AWS em uma organização para gerenciamento central. Cada conta-membro tem seu próprio usuário-raiz com permissões padrão para realizar qualquer ação na conta-membro. Recomendamos que você proteja centralmente as credenciais de usuário-raiz das Contas da AWS gerenciadas usando o AWS Organizations para impedir a recuperação e o acesso às credenciais de usuário-raiz em grande escala.

Depois de centralizar o acesso raiz, é possível optar por excluir as credenciais de usuário-raiz das contas-membro em sua organização. Você pode remover a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativar a autenticação multifator (MFA). As novas contas que você criar no AWS Organizations não terão credenciais de usuário-raiz por padrão. As contas dos membros não podem fazer login com o usuário-raiz nem realizar a recuperação da senha do usuário-raiz.

**nota**  
Embora algumas [Tarefas que exigem credenciais de usuário-raiz](id_root-user.md#root-user-tasks) possam ser executadas pela conta gerencial ou pelo administrador delegado do IAM, algumas tarefas só podem ser executadas quando você fizer login como usuário-raiz de uma conta.  
Se precisar recuperar as credenciais de usuário-raiz de uma conta de membro para realizar uma dessas tarefas, siga as etapas em [Execução de uma tarefa privilegiada](id_root-user-privileged-task.md) e selecione **Permitir recuperação de senha**. A pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta de membro poderá [redefinir a senha do usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) e fazer login no usuário-raiz da conta de membro.  
 Recomendamos excluir as credenciais de usuário-raiz depois de concluir a tarefa que requer acesso ao usuário-raiz.

## Pré-requisitos
<a name="enable-root-access-management_prerequisite"></a>

Antes de centralizar o acesso raiz, você deve ter uma conta configurada com as configurações a seguir:
+ Você deve ter as seguintes permissões do IAM:
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountSummary`
  + `iam:GetLoginProfile`
  + `iam:GetUser`
  + `iam:ListAccessKeys`
  + `iam:ListMFADevices`
  + `iam:ListSigningCertificates`
  + `sts:AssumeRoot`
**nota**  
Para auditar o status de credencial de usuário-raiz de uma conta de membro, você pode usar a política gerenciada [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS para reduzir o escopo das permissões ao realizar uma tarefa privilegiada em uma conta de membro AWS Organizations, ou usar qualquer política com acesso a `iam:GetAccountSummary`.  
Para gerar o relatório de informações de credenciais de usuário-raiz, outras políticas só precisam da ação `iam:GetAccountSummary` para produzir a mesma saída. Você também pode listar ou obter informações individuais de credenciais de usuário-raiz, incluindo:  
Se há uma senha de usuário-raiz
Se há uma chave de acesso de usuário-raiz e quando ela foi usada pela última vez
Se o usuário-raiz possui certificados de assinatura associados
Dispositivos de MFA associados ao usuário-raiz
Lista do status consolidado das credenciais do usuário-raiz
+ Você deve gerenciar suas Contas da AWS no [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html).
+ É preciso ter as permissões a seguir para habilitar esse atributo na sua organização:
  + `iam:EnableOrganizationsRootCredentialsManagement`
  + `iam:EnableOrganizationsRootSessions`
  + `iam:ListOrganizationsFeatures`
  + `organizations:EnableAwsServiceAccess`
  + `organizations:ListAccountsForParent`
  + `organizations:RegisterDelegatedAdministrator` 
+ Para garantir a funcionalidade ideal do console, recomendamos habilitar as seguintes permissões adicionais:
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAWSServiceAccessForOrganization`
  + `organizations:ListDelegatedAdministrators`
  + `organizations:ListOrganizationalUnitsForParent`
  + `organizations:ListParents`
  + `organizations:ListTagsForResource`

## Habilitação do acesso raiz centralizado (console)
<a name="enable-root-access-console"></a>

**Para habilitar esse atributo para contas-membro no Console de gerenciamento da AWS**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console, escolha **Gerenciar acesso raiz** e, em seguida, selecione **Habilitar**.
**nota**  
Se você vir que o **Gerenciamento de acesso raiz está desabilitado**, habilite o acesso confiável para o AWS Identity and Access Management no AWS Organizations. Para obter detalhes, consulte [AWS IAM e o AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html) no *Guia do usuário do AWS Organizations*.

1. Na seção Capacidades para habilitar, escolha quais atributos habilitar.
   + Selecione **Gerenciamento de credenciais de raiz** para permitir que a conta de gerenciamento e o administrador delegado do IAM excluam as credenciais de usuário-raiz das contas-membro. Você deve habilitar as Ações de usuário-raiz privilegiado nas contas-membro para permitir que as contas-membro recuperem suas credenciais de usuário-raiz após serem excluídas.
   + Selecione **Ações de usuário-raiz privilegiado em contas-membro** para permitir que a conta de gerenciamento e o administrador delegado do IAM realizem determinadas tarefas que exijam credenciais de usuário-raiz.

1. (Opcional) Insira o ID da conta do **Administrador delegado** que está autorizado a gerenciar o acesso de usuário-raiz e a realizar ações privilegiadas nas contas-membro. Recomendamos uma conta destinada a fins de segurança ou gerenciamento.

1. Escolha **Habilitar**.

## Habilitação do acesso raiz centralizado (AWS CLI)
<a name="enable-root-access-cli"></a>

**Para habilitar o acesso raiz centralizado a partir da AWS Command Line Interface (AWS CLI)**

1. Se você ainda não habilitou o acesso confiável para o AWS Identity and Access Management no AWS Organizations, use o comando a seguir: [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html).

1. Use o comando a seguir para permitir que a conta de gerenciamento e o administrador delegado do IAM excluam as credenciais de usuário-raiz das contas-membro: [aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html).

1. Use o comando a seguir para permitir que a conta de gerenciamento e o administrador delegado do IAM realizem tarefas que exijam credenciais de usuário-raiz: [aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html).

1. (Opcional) Use o comando a seguir para registrar um administrador delegado: [aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html).

   O exemplo a seguir atribui a conta 111111111111 como administrador delegado do serviço IAM.

   ```
   aws organizations register-delegated-administrator 
   --service-principal iam.amazonaws.com
   --account-id 111111111111
   ```

## Habilitação do acesso raiz centralizado (AWS API)
<a name="enable-root-access-api"></a>

**Para habilitar o acesso raiz centralizado a partir da AWS API**

1. Se você ainda não habilitou o acesso confiável para o AWS Identity and Access Management no AWS Organizations, use o comando a seguir: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).

1. Use o comando a seguir para permitir que a conta de gerenciamento e o administrador delegado do IAM excluam as credenciais de usuário-raiz das contas-membro: [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html).

1. Use o comando a seguir para permitir que a conta de gerenciamento e o administrador delegado do IAM realizem tarefas que exijam credenciais de usuário-raiz: [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html).

1. (Opcional) Use o comando a seguir para registrar um administrador delegado: [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html).

## Próximas etapas
<a name="enable-root-access_next-steps"></a>

Depois de proteger centralmente as credenciais privilegiadas para as contas-membro em sua organização, consulte [Execução de uma tarefa privilegiada](id_root-user-privileged-task.md) para realizar ações privilegiadas em uma conta-membro.