🔐 Bezpieczeństwo

Jak nie stracić dostępu do konta

Jak nie stracić dostępu do konta AWS — historia i dobre praktyki.

22 stycznia 2021 2 min czytania
Jak nie stracić dostępu do konta

Dlaczego Twoje konto powinno być Twoje?

Załóżmy, że masz firmę.

Zamówiłeś, lub po prostu rozwijasz swoje oprogramowanie przy pomocy zewnętrznej firmy. Twój partner biznesowy, nie tylko tworzy, ale też utrzymuje Twoje oprogramowanie. Zarządza Twoją chmurą, dla Ciebie.

Historia pisana przez życie

Wszystko idzie dobrze, tworzysz nowe funkcjonalności, sprint za sprintem - i nagle coś nie gra. Pojawiają się opóźnienia w dostarczaniu poprawek, nowe funkcjonalności nie pojawiają się w ustalonym czasie, lub wręcz… wcale.

Masz problem, który próbujesz rozwiązać nie płacąc za kolejne faktury. To nie działa, nagle zostajesz odcięty od kodu aplikacji, a Twoje konto deweloperskie, ba! produkcyjne, przestaje być Twoje.

Zaufanie

Okazuje się, że zaufanie, które miałeś do dostawcy Twojej aplikacji, straciło swoją ważność.

Newsletter AWS

Tutoriale, case study, nowości z chmury · co tydzień · po polsku

🔒 Zero spamu · wypis jednym kliknięciem

Zaufanie było tak wielkie, że wszelkie konta AWS (deweloperskie, produkcyjne), a także repozytorium kodu, były zarejestrowane na dane partnera. To on posiada dostęp do skrzynek email, których adresy zostały użyte do rejestracji kont w AWS.

Tak, faktury za usługi chmurowe były wystawione na Ciebie, ale to email konta Root na Twoim koncie AWS jest kluczowy. To właśnie w oparciu o ten adres email potwierdzasz w pewnym sensie tożsamość właściciela konta.

Prawda jest taka, że bez dostępu do konta email, nie masz formalnie możliwości odzyskać dostępu do swojego konta AWS.

Jak żyć?

Kilka podstawowych zasad:

  • Użyj organizacji, a konto główne (root) niech będzie zarejestrowane przy użyciu adresu email (najlepiej listy dystrybucyjnej) w Twojej domenie.
  • Pozostałe konta również twórz z poziomu Organizacji, jako konta zależne od Organizacji, używając DL-ek (list dystrybucyjnych) w tej samej domenie.
  • Gdy masz tylko jedno, czy dwa konta, a organizacja z jakiegoś powodu nie jest Twoją bajką, nadal obowiązuje ta sama zasada — tworzysz konta przy użyciu adresów email w Twojej domenie.
  • Używaj wieloskładnikowego uwierzytelniania do konta Root i niech klucz sprzętowy lub token będzie w Twoim posiadaniu.
  • Klucz sprzętowy - zawsze możesz go przechowywać w bezpiecznym miejscu, szczególnie, że konta root nie powinieneś używać na co dzień.
  • Niech Twoje konta AWS będą Twoje, a nie dostawcy.
  • Pamiętaj, że email również powinien być zabezpieczony dodatkowym składnikiem uwierzytelniania, bowiem łańcuch pęka tam, gdzie jego najsłabsze ogniwo.
Tagi: #Bezpieczenstwo #AWS #IAM

Newsletter AWS

Tutoriale, case study, nowości z chmury · co tydzień · po polsku

🔒 Zero spamu · wypis jednym kliknięciem

← Wróć do Bezpieczeństwo