Лучшая практика для корневой учетной записи AWS или суперпользователя?

Dean Hiller

17.09.2023, 07:34

Обычно у нас есть правило, согласно которому 3 человека имеют доступ суперпользователя с 3 именами пользователя/паролями, и если кто-то когда-либо выходит из системы (увольняется или увольняется), в отпуске, по болезни, в другом часовом поясе, кто-то все еще имеет доступ, а мы никогда искалеченный. Глядя на AWS, я не понимаю, почему кажется, что существует только одна «корневая учетная запись» AWS и пароль. Казалось бы, человек с ключами от замка не в состоянии быть уволенным в этом случае, вернее, он узнает, как только вы попросите у него единый аккаунт (особенно когда он привязан к МФА).

Я что-то пропустил? Есть ли «суперпользователь», которого мы можем добавить еще для 2 человек, у которого есть право удалить учетную запись root?

В devops это делалось годами в linux, windows и т. д.

О, для соответствия всем учетным записям также потребуется включить MFA, что означает, что мы также не можем совместно использовать эту корневую учетную запись. Как другие справляются с этим, чтобы 3 разных человека могли поддерживать компанию, пока другие болеют?

О, чувак, а что, если парень с корневым паролем/логином умер. Компания будет облажаться?

Благодарность!

0 + 0

амазон-веб-сервисы

amazon-iam

Rob

17.09.2023, 08:13

Чтобы ответить на ваше редактирование: https://serverfault.com/a/1062750/960939

Ответить

Рейтинг:3

Server

Rob

17.09.2023, 08:06

Существует очень мало задач, для которых действительно требуется корневая учетная запись AWS или эквивалентная учетная запись управления в AWS Organizations.

Видеть:

https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root

Назначьте своим коллегам-администраторам правильные роли и делегируйте соответствующие разрешения нужным людям, и root-доступ вряд ли когда-либо понадобится. Тогда может быть сложно получить этот корневой доступ и, например, потребуется поездка в офис, чтобы получить токен MFA из сейфа компании.

Похоже, ваша организация достаточно велика, и вы уже должны были перейти на AWS Organizations: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html

Затем следуйте, например, рекомендациям в:

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html

0 + 0

Admin

Этот вопрос на других языках:

EN: Best practice for AWS root account or superuser?

TH: แนวทางปฏิบัติที่ดีที่สุดสำหรับบัญชีรูท AWS หรือ superuser?

RO: Cele mai bune practici pentru contul root sau superutilizator AWS?

RU: Лучшая практика для корневой учетной записи AWS или суперпользователя?

VI: Phương pháp hay nhất cho tài khoản gốc hoặc siêu người dùng AWS?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.