Передача доступа к корневой учетной записи AWS при включенном MFA

Question

Я управляю учетной записью AWS около года.Типичные настройки безопасности " Лучшие практики ":

• 1 Корневая учетная запись
• Несколько учетных записей без Root, включая ту, которую я использую ежедневно
• Все учетные записи, использующие MFA (я лично использую приложение Google Authenticator)

Теперь я хочу передать "право собственности" на всю эту учетную запись AWS (корневая учетная запись и все) кому-либо другому.Хотя я, конечно, могу дать им имя пользователя + пароль для входа в систему как Root, им также потребуется настройка MFA.

Единственный способ, которым я могу думать об этом, это:

1. Отключить MFA для учетной записи Root
2. Дайте им логины для учетной записи Root
3. Доверяйте, чтобы они повторно включили MFA как можно скорее

Имеет ли AWSвеб-консоль предоставит вам лучшие решения?Я даже не уверен, возможно ли отключить MFA для учетной записи (не говоря уже о Root) после ее установки ...

Заранее спасибо!

Answer 1

Как уже упоминалось, после добавления можно удалить MFA из учетной записи.У вас также есть два варианта перевода учетной записи root с включенным MFA:

• Если учетная запись стоит вложений, купить и использовать аппаратный MFA.Затем передача учетной записи включает физическую передачу устройства MFA.
• Если вы хотите продолжать использовать виртуальное устройство, удалите MFA из учетной записи root и повторно добавьте его.При сканировании QR-кода с помощью собственного приложения Authenticator, сделайте снимок экрана QR-кода и надежно сохраните его (в идеале распечатайте на бумаге и немедленно уничтожьте все цифровые копии) или нажмите «Показать секретный ключ для ручной настройки» и запишитена бумаге длинная нить.QR-код или начальную строку можно отсканировать или ввести, чтобы заполнить тот же поток номеров OTP в приложении Authenticator нового владельца.Очевидно, имейте в виду, что если украденные одни и те же данные могут быть использованы для заполнения одного и того же потока любым , включая злоумышленника, так что держите его в безопасности.

Answer 2

Вы задали три вопроса. Давайте посмотрим на один

1. Отключить MFA на Root аккаунте

Чтобы деактивировать устройство MFA для вашего корневого пользователя AWS (консоли), выполните следующие действия

1. Зарегистрируйте свою учетную запись AWS с корневыми кредитами
2. В правом углу панели навигации вы можете увидеть My Security Credentials
3. Выбрать Многофакторная аутентификация
4. Затем пометьте его как Отключить против вашего устройства MFA

2. Дайте им логины для учетной записи Root

Для этого вы должны следовать этой документации AWS, в которой четко указано Как передать свою учетную запись другому лицу или бизнесу? . Для этого не требуется пакет технической поддержки, достаточно пакета базовой поддержки.

3.Уверьте, что они снова активируют MFA как можно скорее

Для этого вы должны спросить их, кому бы вы ни передавали учетную запись, чтобы включить MFA. Вы также можете научить их необходимости МИДа и его безопасности.

Answer 3

Чтобы деактивировать устройство MFA для вашего корневого пользователя AWS (консоль)

Используйте учетные данные корневого пользователя учетной записи AWS для входа в Консоль управления AWS.

Важно

Чтобы управлять устройствами MFA для учетной записи AWS, необходимо войти в AWS с учетными данными корневого пользователя учетной записи AWS. Вы не можете управлять устройствами MFA для пользователя root с другими учетными данными.

На панели навигации выберите имя своей учетной записи, а затем выберите «Мои учетные данные безопасности». Если появится приглашение, выберите «Перейти к учетным данным безопасности».



Раскройте раздел Многофакторной аутентификации (MFA).

В строке устройства MFA, которое вы хотите деактивировать, выберите Деактивировать.

Устройство MFA деактивировано для учетной записи AWS