Cele mai bune practici pentru contul root sau superutilizator AWS?

Dean Hiller

17.09.2023, 07:34

În mod normal, avem regula ca 3 persoane să aibă acces de superutilizator cu 3 nume de utilizator/parole și dacă cineva este vreodată dezactivat (pleacă sau este concediat), în vacanță, bolnav, fus orar diferit, cineva are încă acces și nu suntem niciodată schilodit. Când mă uit la AWS, nu înțeleg de ce se pare că există doar un „cont rădăcină” și o parolă AWS. S-ar părea că persoana cu cheile castelului nu este în măsură să fie concediată vreodată în acest caz sau mai bine zis va ști imediat ce îi veți cere contul unic (când este legat de MAE în special).

Am pierdut ceva? Există un „superutilizator” pe care îl putem adăuga pentru încă 2 persoane care are puterea de a elimina contul root?

În devop-uri, acest lucru se face de ani de zile în Linux, Windows etc.

Oh, pentru conformitate, toate conturile vor avea nevoie și de activarea MFA, ceea ce înseamnă că nici nu putem partaja acest cont root cu adevărat. Cum se ocupă alții de asta, astfel încât 3 persoane diferite să poată sprijini compania în timp ce alții sunt bolnavi?

Omule, ce se întâmplă dacă tipul cu parola/login de root a murit. S-ar trage firma?

Mulțumiri!

0 + 0

servicii-web-amazon

amazon-iam

Rob

17.09.2023, 08:13

Pentru a răspunde editării dvs.: https://serverfault.com/a/1062750/960939

Răspunde

Puncte:3

Server

Rob

17.09.2023, 08:06

Există doar foarte puține sarcini care necesită într-adevăr contul root AWS sau contul de management echivalent în AWS Organizations.

Vedea:

https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root

Atribuiți colegilor dvs. administratori roluri adecvate și delegați permisiunile relevante persoanelor corecte, iar accesul root nu ar trebui să fie aproape niciodată necesar. Atunci poate fi dificil din punct de vedere al concepției să obțineți acel acces rădăcină și, de exemplu, să solicitați o călătorie la birou pentru a obține simbolul MFA de la seiful companiei.

Se pare că organizația dvs. este suficient de mare încât ar fi trebuit să fi trecut deja la AWS Organizations: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html

Apoi urmați, de exemplu, instrucțiunile din:

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: Best practice for AWS root account or superuser?

TH: แนวทางปฏิบัติที่ดีที่สุดสำหรับบัญชีรูท AWS หรือ superuser?

RO: Cele mai bune practici pentru contul root sau superutilizator AWS?

RU: Лучшая практика для корневой учетной записи AWS или суперпользователя?

VI: Phương pháp hay nhất cho tài khoản gốc hoặc siêu người dùng AWS?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.