¿Existen soluciones para administrar las claves de raíz de AWS por parte de un equipo?

1

Dentro de nuestra corporación, tenemos un equipo dedicado que administra nuestra huella de AWS. Para cada equipo de desarrolladores / aplicaciones, proporcionamos una nueva cuenta con una VPC y algunas redes para adjuntarla a nuestra red de redes pan-galácticas. Sin embargo, nuestro equipo de administración de AWS mantiene y administra las claves de raíz para el propietario de esa cuenta. A los desarrolladores se les asignan cuentas IAM con privilegios de superadmin para que puedan hacer lo que quieran, pero aún mantenemos el control maestro.

El problema es que con un equipo de personas, no se puede crear fácilmente la cuenta raíz y adjuntar MFA a ella. Amazon tiene algunas sugerencias que, básicamente, se reducen a establecer una contraseña larga compleja en la cuenta y luego simplemente perder la contraseña.

¿Existen soluciones que permitan a un grupo de personas en un equipo administrar un MFA común para que podamos habilitar MFA en la cuenta raíz?

    
pregunta Geoff Sweet 06.09.2017 - 01:16
fuente

1 respuesta

1

En una cuenta de AWS debidamente protegida, la cuenta de root solo debe usarse como un "rompe el cristal en caso de emergencias". Los usuarios deben utilizar las cuentas IAM como su "controlador diario". Yo habilitaría MFA en la cuenta raíz e imprimiría o guardaría una copia del código QR. Ponlo en una caja fuerte o bóveda. Solo sácalo cuando lo necesites.

Puede escanear el código QR de MFA varias veces, por lo que puede tener varios dispositivos configurados para MFA.

    
respondido por el myron-semack 06.09.2017 - 01:34
fuente

Lea otras preguntas en las etiquetas