As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como e quando usar a conta de usuário raiz no AMS
O usuário root é o superusuário em sua AWS conta. O AMS monitora o uso do root. Recomendamos que você use root somente para algumas tarefas que exigem isso, por exemplo: alterar as configurações da conta, ativar o acesso AWS Identity and Access Management (IAM) ao faturamento e ao gerenciamento de custos, alterar sua senha raiz e ativar a autenticação multifator (MFA). Consulte Tarefas que exigem credenciais de usuário root no Guia do AWS Identity and Access Management usuário.
nota
O MFA é ativado durante a integração do AMS Advanced para proibir especificamente o acesso do usuário raiz. O acesso root em contas gerenciadas pelo AMS é diferente de outras AWS contas e é fundamental para a segurança de todo o seu ambiente gerenciado pelo AMS. O MFA configurado é um MFA virtual e é executado usando um dispositivo de propriedade da AMS. Depois que a MFA virtual é configurada com a ajuda da AMS, o token virtual é imediatamente excluído. Isso garante que nem você nem o AMS mantenham a capacidade de fazer login na conta como usuário root. O login root só pode ser reativado em solicitações especiais (explicadas a seguir) e o AMS espera que esses acessos sejam usados somente quando absolutamente necessário. Para obter informações sobre o MFA, consulte Proteger nova conta com autenticação multifator.
O acesso root sempre aciona uma resposta da equipe de segurança e operações do AMS. O AMS monitora as chamadas de API para acesso root e os alarmes são acionados se esse acesso for detectado.
A solicitação de acesso root é um pouco diferente entre os tipos de conta do AMS.
Acesso root com a landing zone de conta única do AMS Advanced:
Se você tiver uma landing zone de conta única, entre em contato com seu gerente de prestação de serviços em nuvem (CSDM) e com os arquitetos de nuvem (CAs) para informá-los sobre o trabalho de acesso raiz necessário. É melhor avisar com vinte e quatro horas de antecedência antes da atividade proposta.
Acesso root com a landing zone multiconta do AMS Advanced:
Para contas de aplicativos, serviços compartilhados, segurança ou rede na zona de destino com várias contas, use o tipo de alteração Management | Other | Other (ct-1e1xtak34nx76). Inclua a data, a hora e a finalidade de usar as credenciais do usuário raiz e agende a RFC para garantir um aviso prévio de vinte e quatro horas antes da atividade proposta. Use sua conta de gerenciamento de landing zone com várias contas para enviar o RFC.
Além disso, entre em contato com seu CSDM com CAs vinte e quatro horas de antecedência, para informá-lo sobre o trabalho de acesso raiz necessário.
Operações do AMS e resposta de segurança ao uso raiz:
O AMS recebe um alarme quando a conta do usuário raiz é usada. Se o uso das credenciais raiz não for programado, eles entrarão em contato com a equipe de segurança do AMS e com a equipe da sua conta para verificar se essa é a atividade esperada. Se não for uma atividade esperada, o AMS trabalha com sua equipe de segurança para investigar o problema.
