¿Control doble (acceso de dos personas) a los inicios de sesión de la raíz de AWS?

5

He estado revisando algunos hilos / preguntas aquí, pero ninguno de ellos habló realmente sobre la implementación concreta de los métodos de autorización de dos hombres. He leído una cantidad razonable de ideas y "por qué", pero ahora estoy buscando las mejores maneras de implementarlas.

Para darle un poco de contexto: A y B trabajan en el equipo de administración de devOps / sytem que administra la infraestructura de alguna empresa. Ambos deciden que es una buena idea tener una autenticación de dos personas, ya que ambos deberían realizar algún tipo de tarea de autorización para obtener / otorgar acceso.

He leído sobre varias formas de hacer esto, por ejemplo: 1. Ambos administradores tienen una parte de la contraseña que funcionaría solo cuando la ingresó. 2. Generación de tokens que no revelaría los secretos reales y serían destruidos después de X horas de uso.

Quiero implementar esto en caso de que alguno de nosotros se vuelva loco y decida borrar los sistemas. Cualquier sugerencia es apreciada. El caso de uso sería principalmente para AWS.

¡Gracias!

    
pregunta Nishant 26.06.2018 - 11:23
fuente

1 respuesta

2

Aunque no he oído hablar de tal sistema, es posible que tenga una solución alternativa para usted.

Use 2FA, tenga la contraseña de la cuenta con PersonA y la notificación de envío a PersonB para autorizar el inicio de sesión.

Por ejemplo. Podría usar DUO 2FA, PersonA ingresará la contraseña en el grupo de AWS, y DUO enviará una notificación de inserción a PersonB, si el inicio de sesión debe continuar o no.

Esto es casi como que los administradores tienen parte de la contraseña, solo que 1 parte es una contraseña y la segunda es una notificación de inserción para una autenticación adicional.

Puedo decir que desde casi un año de uso de este modelo en un entorno no crítico, ha funcionado bien. Pero no lo tendría como nuestra solución definitiva.

Saludos

    
respondido por el Jay 26.06.2018 - 13:21
fuente

Lea otras preguntas en las etiquetas