Me gustaría habilitar la autenticación multifactor en la cuenta raíz de AWS de mi organización, pero no estoy seguro de cuáles son las mejores prácticas para hacerlo.
Ya tenemos cuentas IAM separadas para cada persona que necesita acceso; la mayoría de las cuentas tienen permisos extremadamente limitados, pero muchos de nosotros tenemos acceso total de administrador a través de IAM. Requerir MFA para la cuenta IAM de cada usuario es fácil, ya que todos pueden configurar Google Authenticator o Authy en sus dispositivos personales. Sin embargo, hacer lo mismo con la cuenta de root parece poco inteligente, ya que limitaría el acceso a una sola persona (lo que no es muy seguro para el bus). Un par de ideas que he tenido son:
- Habilite MFA y haga que 2 a 3 administradores escaneen el código QR (para la cuenta raíz) al mismo tiempo.
- Cree una cuenta Authy compartida que contenga para este propósito y registre la contraseña en algún lugar seguro para que un administrador pueda acceder a ella si es necesario.
¿Hay alguna práctica recomendada para hacer esta u otra opción que me estoy perdiendo?