Phương pháp hay nhất cho tài khoản gốc hoặc siêu người dùng AWS?

Dean Hiller

07:34, 17/09/2023

Thông thường, chúng tôi có quy tắc 3 người có quyền truy cập siêu người dùng với 3 tên người dùng/mật khẩu và nếu bất kỳ ai đã từng rời khỏi máy bay (họ rời đi hoặc bị sa thải), đang đi nghỉ, bị ốm, múi giờ khác, ai đó vẫn có quyền truy cập và chúng tôi thì không bao giờ què quặt. Khi xem AWS, tôi không hiểu tại sao có vẻ như chỉ có một 'tài khoản gốc' và mật khẩu AWS. Có vẻ như người có chìa khóa của lâu đài không có khả năng bị sa thải trong trường hợp này hay đúng hơn là anh ta sẽ biết ngay khi bạn hỏi anh ta về một tài khoản (đặc biệt là khi nó được liên kết với MFA).

Tui bỏ lỡ điều gì vậy? Có 'siêu người dùng' nào mà chúng tôi có thể thêm cho 2 người nữa có khả năng xóa tài khoản gốc không?

Trong devops, điều này đã được thực hiện trong nhiều năm trong linux, windows, v.v.

Ồ, để tuân thủ, tất cả các tài khoản cũng sẽ cần bật MFA, điều đó có nghĩa là chúng tôi thực sự không thể chia sẻ tài khoản gốc này. Những người khác đang xử lý việc này như thế nào để 3 người khác nhau có thể hỗ trợ công ty trong khi những người khác không bị ốm?

Ôi trời, chuyện gì sẽ xảy ra nếu anh chàng có mật khẩu/đăng nhập gốc chết. Công ty sẽ bị lừa?

cảm ơn!

0 + 0

amazon-web-services

amazon-iam

Rob

08:13, 17/09/2023

Để trả lời chỉnh sửa của bạn: https://serverfault.com/a/1062750/960939

Hồi đáp

Điểm:3

Server

Rob

08:06, 17/09/2023

Chỉ có rất rất ít tác vụ thực sự yêu cầu tài khoản gốc AWS hoặc tài khoản quản lý tương đương trong Tổ chức AWS .

Nhìn thấy:

https://docs.aws.amazon.com/General/latest/gr/root-vs-iam.html#aws_tasks-that-require-root

Chỉ định vai trò thích hợp cho các quản trị viên đồng nghiệp của bạn và ủy quyền các quyền có liên quan cho đúng người và hầu như không cần đến quyền truy cập root. Sau đó, theo thiết kế, có thể khó có được quyền truy cập root đó và chẳng hạn như yêu cầu một chuyến đi đến văn phòng để lấy mã thông báo MFA từ két an toàn của công ty.

Có vẻ như tổ chức của bạn đủ lớn để bạn nên chuyển sang AWS Organizations: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html

Sau đó làm theo ví dụ các hướng dẫn trong:

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Best practice for AWS root account or superuser?

TH: แนวทางปฏิบัติที่ดีที่สุดสำหรับบัญชีรูท AWS หรือ superuser?

RO: Cele mai bune practici pentru contul root sau superutilizator AWS?

RU: Лучшая практика для корневой учетной записи AWS или суперпользователя?

VI: Phương pháp hay nhất cho tài khoản gốc hoặc siêu người dùng AWS?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.