As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de acesso no AMS Accelerate
O gerenciamento de acesso é a forma como seus recursos são protegidos, permitindo somente acesso autorizado e autenticado. Com o AMS Accelerate, você é responsável por gerenciar o acesso aos seus recursos subjacentes Contas da AWS e aos deles, como soluções de gerenciamento de acesso, políticas de acesso e processos relacionados. Para ajudá-lo a gerenciar sua solução de acesso, o AMS Accelerate implanta AWS Config regras que detectam configurações incorretas comuns do IAM e, em seguida, entregam notificações de remediação. Uma configuração incorreta comum do IAM é que o usuário root tem chaves de acesso. A regra de `iam-root-access-key-check` configuração verifica se a chave de acesso do usuário root está disponível e é compatível ou se a chave de acesso não existe. Para obter uma lista das regras de configuração implantadas pelo AMS, consulte a biblioteca de [AWS Config regras do AMS](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html#acc-sec-compliance-rules).
**Topics**
+ [Tenha acesso ao console Accelerate](acc-access-permissions.md)
+ [Permissões para usar os recursos do AMS](acc-access-customer.md)
+ [Por que e quando o AMS acessa sua conta](access-justification.md)
+ [Como o AMS acessa sua conta](acc-access-operator.md)
+ [Como e quando usar a conta de usuário raiz no AMS](how-when-to-use-root.md)
# Tenha acesso ao console Accelerate
Ao fazer a integração com o Accelerate, você tem acesso automático ao console do Accelerate. Você pode acessar o console pesquisando **Managed Services** no console de gerenciamento da AWS. O console do Accelerate oferece uma visão resumida dos recursos que você tem com o Accelerate. Essa visualização inclui componentes individuais apresentados no painel e nas páginas de configuração.
# Permissões para usar os recursos do AMS
Para permitir que seus usuários leiam e configurem os recursos do AMS Accelerate, como acessar o console do AMS ou configurar backups, você deve conceder permissões explícitas às funções do IAM para realizar essas ações. O CloudFormation modelo a seguir contém as políticas necessárias para ler e configurar os serviços associados ao AMS para que você possa atribuí-los às suas funções do IAM. Eles foram projetados para se alinharem estreitamente às responsabilidades de trabalho comuns no setor de TI, onde as permissões de administrador ou somente leitura são necessárias; no entanto, se você precisar conceder permissões diferentes aos usuários, poderá editar a política para incluir ou excluir permissões específicas. Você também pode criar a sua própria política personalizada.
O modelo fornece duas políticas. A `AMSAccelerateAdminAccess` política deve ser usada para configurar e operar os componentes do AMS Accelerate. Essa política geralmente é assumida por um administrador de TI e concede permissões para configurar recursos do AMS, como patches e backups. Isso `AMSAccelerateReadOnly` concede as permissões mínimas necessárias para visualizar os recursos relacionados ao AMS Accelerate.
```
AWSTemplateFormatVersion: 2010-09-09
Description: AMSAccelerateCustomerAccessPolicies
Resources:
AMSAccelerateAdminAccess:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateAdminAccess
Path: /
PolicyDocument:
Fn::Sub:
- |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams-backup-iam-role"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportPolicy",
"Effect": "Allow",
"Action": "support:*",
"Resource": "*"
},
{
"Sid": "ConfigPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:StartConfigRulesEvaluation"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "AppConfigPolicy",
"Effect": "Allow",
"Action": [
"appconfig:StartDeployment",
"appconfig:StopDeployment",
"appconfig:CreateHostedConfigurationVersion",
"appconfig:ValidateConfiguration"
],
"Resource": [
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/configurationprofile/${AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/configurationprofile/${AMSResourceTaggerConfigurationCustomerManagedTagsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:deploymentstrategy/*"
]
},
{
"Sid": "CloudFormationStacksPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2Policy",
"Action": [
"ec2:DescribeInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "SSMPolicy",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource",
"ssm:CancelCommand",
"ssm:CancelMaintenanceWindowExecution",
"ssm:CreateAssociation",
"ssm:CreateAssociationBatch",
"ssm:CreateMaintenanceWindow",
"ssm:CreateOpsItem",
"ssm:CreatePatchBaseline",
"ssm:DeleteAssociation",
"ssm:DeleteMaintenanceWindow",
"ssm:DeletePatchBaseline",
"ssm:DeregisterPatchBaselineForPatchGroup",
"ssm:DeregisterTargetFromMaintenanceWindow",
"ssm:DeregisterTaskFromMaintenanceWindow",
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm:PutConfigurePackageResult",
"ssm:RegisterDefaultPatchBaseline",
"ssm:RegisterPatchBaselineForPatchGroup",
"ssm:RegisterTargetWithMaintenanceWindow",
"ssm:RegisterTaskWithMaintenanceWindow",
"ssm:RemoveTagsFromResource",
"ssm:SendCommand",
"ssm:StartAssociationsOnce",
"ssm:StartAutomationExecution",
"ssm:StartSession",
"ssm:StopAutomationExecution",
"ssm:TerminateSession",
"ssm:UpdateAssociation",
"ssm:UpdateAssociationStatus",
"ssm:UpdateMaintenanceWindow",
"ssm:UpdateMaintenanceWindowTarget",
"ssm:UpdateMaintenanceWindowTask",
"ssm:UpdateOpsItem",
"ssm:UpdatePatchBaseline"
],
"Resource": "*"
},
{
"Sid": "AmsPatchRestrictAMSResources",
"Effect": "Deny",
"Action": [
"ssm:DeletePatchBaseline",
"ssm:UpdatePatchBaseline"
],
"Resource": [
"arn:aws:ssm:${AWS::Region}:${AWS::AccountId}:patchbaseline/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ams:resourceOwner": "*"
}
}
},
{
"Sid": "AmsPatchRestrictAmsTags",
"Effect": "Deny",
"Action": [
"ssm:AddTagsToResource",
"ssm:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:TagKeys": [
"AMS*",
"Ams*",
"ams*"
]
}
}
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
},
{
"Sid": "IAMReadOnlyPolicy",
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsResourceSchedulerPassRolePolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams_resource_scheduler_ssm_automation_role",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
- AMSAlarmManagerConfigurationApplicationId: !ImportValue "AMS-Alarm-Manager-Configuration-ApplicationId"
AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID: !ImportValue "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
AMSResourceTaggerConfigurationApplicationId: !ImportValue "AMS-ResourceTagger-Configuration-ApplicationId"
AMSResourceTaggerConfigurationCustomerManagedTagsProfileID: !ImportValue "AMS-ResourceTagger-Configuration-CustomerManagedTags-ProfileID"
AMSAccelerateReadOnly:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateReadOnly
Path: /
PolicyDocument: !Sub |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": [
"backup:Describe*",
"backup:Get*",
"backup:List*"
],
"Resource": "*"
},
{
"Action": [
"rds:DescribeDBSnapshots",
"rds:ListTagsForResource",
"rds:DescribeDBInstances",
"rds:describeDBSnapshots",
"rds:describeDBEngineVersions",
"rds:describeOptionGroups",
"rds:describeOrderableDBInstanceOptions",
"rds:describeDBSubnetGroups",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBInstanceAutomatedBackups"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"dynamodb:ListBackups",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"elasticfilesystem:DescribeFilesystems"
],
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:describeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeSubnets",
"ec2:DescribePlacementGroups",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeCachediSCSIVolumes",
"storagegateway:DescribeStorediSCSIVolumes"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*/volume/*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:ListGateways"
],
"Resource": "arn:aws:storagegateway:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeGatewayInformation",
"storagegateway:ListVolumes",
"storagegateway:ListLocalDisks"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*"
},
{
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
},
{
"Action": "fsx:DescribeBackups",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:backup/*"
},
{
"Action": "fsx:DescribeFileSystems",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:file-system/*"
},
{
"Action": "ds:DescribeDirectories",
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyReadPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportReadPolicy",
"Effect": "Allow",
"Action": "support:Describe*",
"Resource": "*"
},
{
"Sid": "ConfigReadPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:List*"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "CloudFormationReadPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2ReadPolicy",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Sid": "SSMReadPolicy",
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*"
],
"Resource": "*"
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
}
]
}
```
# Por que e quando o AMS acessa sua conta
Os operadores do AMS Accelerate (Accelerate) podem acessar o console e as instâncias da sua conta, em determinadas circunstâncias, para gerenciar seus recursos. Esses eventos de acesso estão documentados em seus registros AWS CloudTrail (CloudTrail). Para obter detalhes sobre como analisar as atividades da equipe de operações do AMS Accelerate e da automação do AMS Accelerate em sua conta, consulte[Rastreando alterações em suas contas do AMS Accelerate](acc-change-record.md).
Por que, quando e como o AMS acessa sua conta são explicados nos tópicos a seguir.
## Acionadores de acesso à conta do cliente do AMS
A atividade de acesso à conta do cliente do AMS é impulsionada por gatilhos. Os gatilhos atuais são os AWS tickets criados em nosso sistema de gerenciamento de problemas em resposta aos alarmes e eventos da Amazon CloudWatch (CloudWatch) e aos relatórios de incidentes ou solicitações de serviço que você envia. Várias chamadas de serviço e atividades em nível de host podem ser realizadas para cada acesso.
A justificativa do acesso, os acionadores e o iniciador do gatilho estão listados na tabela a seguir.
**Acionadores de acesso**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/access-justification.html)
## Funções do IAM para acesso à conta do cliente do AMS
Os operadores de AMS exigem as seguintes funções para atender sua conta.
**nota**
As funções de acesso do AMS permitem que os operadores do AMS acessem seus recursos para fornecer recursos do AMS (consulte[Service description (Descrição do serviço)](acc-sd.md)). Alterar essas funções pode inibir nossa capacidade de fornecer esses recursos. Se você precisar alterar as funções de acesso ao AMS, consulte seu Cloud Architect.
**Funções do IAM para acesso do AMS às contas de clientes**
| Função | Descrição |
| --- | --- |
| ams-access-admin | Essa função tem acesso administrativo total à sua conta sem restrições. Os serviços do AMS usam essa função com políticas de sessão restritivas que limitam o acesso para implantar a infraestrutura do AMS e operar sua conta. |
| ams-access-admin-operations | Essa função concede aos operadores do AMS permissões administrativas para operar sua conta. Essa função não concede permissões de leitura, gravação ou exclusão ao conteúdo do cliente em AWS serviços comumente usados como armazenamentos de dados, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache Somente operadores de AMS qualificados que tenham um forte conhecimento e experiência em gerenciamento de acesso podem assumir essa função. Esses operadores servem como um ponto de escalonamento para problemas de gerenciamento de acesso e acessam suas contas para solucionar problemas de acesso do operador do AMS. |
| ams-access-management | Implantado manualmente durante a integração. O sistema AMS Access exige essa função para gerenciar `ams-access-roles` e `ams-access-managed-policies` empilhar. |
| ams-access-operations | Essa função tem permissões para realizar tarefas administrativas em suas contas. Essa função não tem permissões de leitura, gravação ou exclusão do conteúdo do cliente em AWS serviços comumente usados como armazenamentos de dados, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache As permissões para realizar operações de AWS Identity and Access Management gravação também são excluídas dessa função. A equipe de operações e os arquitetos de nuvem (CAs) do AMS Accelerate podem assumir essa função. |
| ams-access-read-only | Essa função tem acesso somente para leitura à sua conta. A equipe de operações e os arquitetos de nuvem (CAs) do AMS Accelerate podem assumir essa função. Permissões de leitura para o conteúdo do cliente em AWS serviços comumente usados como armazenamentos de dados, como Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift e, não recebem essa função. ElastiCache |
| ams-access-security-analyst | Essa função de segurança do AMS tem permissões em sua conta do AMS para realizar monitoramento dedicado de alertas de segurança e tratamento de incidentes de segurança. Somente algumas pessoas selecionadas da AMS Security podem assumir essa função. |
| ams-access-security-analyst-somente leitura | Essa função de segurança do AMS está limitada às permissões somente de leitura em sua conta do AMS para realizar monitoramento dedicado de alertas de segurança e tratamento de incidentes de segurança. |
**nota**
Esse é o modelo para a ams-access-management função. [É a pilha que os arquitetos de nuvem (CAs) implantam manualmente em sua conta no momento da integração: management-role.yaml.](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)
Esse é o modelo para as diferentes funções de acesso para os diferentes níveis de acesso: ams-access-read-only,, ams-access-operations ams-access-admin-operations, ams-access-admin: [accelerate-roles.yaml](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml).
# Como o AMS acessa sua conta
Os operadores do AMS Accelerate podem acessar o console e as instâncias da sua conta, em determinadas circunstâncias.
![\[Método de acesso ao console AMS Accelerate.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png)
Os operadores do AMS usam o serviço interno de acesso AMS Accelerate para acessar suas contas de forma segura e auditada. Para acessar suas instâncias, os operadores do AMS usam o mesmo serviço de acesso interno do AMS que o agente e, após a concessão do acesso, os operadores do AMS Accelerate usam o gerenciador de sessões do SSM para obter acesso usando as credenciais da sessão. O acesso RDP para instâncias do Windows é fornecido estabelecendo o encaminhamento de portas para a instância e criando um usuário local usando SSM. As credenciais do usuário local são usadas para acesso RDP e removidas no final da sessão.
# Como e quando usar a conta de usuário raiz no AMS
O [usuário root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) é o superusuário em sua AWS conta. O AMS monitora o uso do root. Recomendamos que você use root somente para algumas tarefas que exigem isso, por exemplo: alterar as configurações da conta, ativar o acesso AWS Identity and Access Management (IAM) ao faturamento e ao gerenciamento de custos, alterar sua senha raiz e ativar a autenticação multifator (MFA). Consulte [Tarefas que exigem credenciais de usuário root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do AWS Identity and Access Management usuário*.
**Faça root com o AMS Accelerate**:
O AMS não proíbe você de usar sua conta de usuário root. No entanto, o AMS Operations and Security trata seu uso como um problema a ser investigado e entraremos em contato com sua equipe de segurança a cada uso.
Recomendamos que você entre em contato com o CSDM e a CA com vinte e quatro horas de antecedência para informá-los sobre o trabalho de acesso raiz que você pretende realizar.
**Operações do AMS e resposta de segurança ao uso raiz**:
O AMS recebe um alarme quando a conta do usuário raiz é usada. Se o uso das credenciais raiz não for programado, eles entrarão em contato com a equipe de segurança do AMS e com a equipe da sua conta para verificar se essa é a atividade esperada. Se não for uma atividade esperada, o AMS trabalha com sua equipe de segurança para investigar o problema.