AWS Root Passwort: Warum du bald handeln musst.

Der AWS Root User hat so viele Berechtigungen, dass man sein Passwort am besten in einem Safe verschließt und für die tägliche Arbeit nicht verwendet. Doch genügt das Wegschließen des Passworts? Kannst du nicht noch mehr für die Sicherheit des Passworts und damit getätigte Änderungen tun?

Dies dachte sich auch einer meiner Kunden und stellte mir die folgende Frage.

Hi Hendric,

welches Vorgehen würdest du empfehlen, um den Root-User des Root-Accounts zu sichern? Wir möchten erreichen, dass wir uns nur im 4-Augen Prinzip mit dem User einloggen können.

1. Person A hat das Kennwort – Person B das MFA

2. Das Kennwort wird in zwei Teile aufgeteilt und eine Hälfte Person A, die andere Hälfte Person B geben

Viele Grüße

Diese Frage ist relativ kurz, aber hat extrem große Auswirkungen und es stellen sich eine ganze Reihe neuer Fragen:

  • Gibt es noch eine dritte Variante?
  • Was ist, wenn eine der beiden Personen einen Unfall hat oder verstirbt?
  • Was ist, wenn das MFA Gerät verschwindet?
  • Ist einer der beiden Ansätze sicherer?

Das Gute vorweg: Die meisten dieser Fragen sind dokumentiert und lassen sich schnell beantworten.

Meiner Meinung nach gibt es keine sinnvolle dritte Variante, die das 4-Augen Prinzip umsetzt.

Wenn ein AWS Kunde ein Passwort vergisst, kann dieses mithilfe der Root User E-Mail Adresse wiederhergestellt werden. Der Prozess ist sehr simpel und in der AWS Dokumentation beschrieben.

Beim Verlust des Root User MFA Gerätes gibt es verschiedene Varianten zur Wiederherstellung:

  1. Mit einem zweiten MFA Gerät, sofern dies konfiguriert ist
  2. Mithilfe der E-Mail Adresse und der Telefonnummer des „Primary Contacts“. Dieser kann von einem IAM User mit Administratorrechten gesetzt werden und sollte aktuell gehalten werden.

Auch dieser Prozess ist natürlich in der AWS Dokumentation aufgeführt.

Ist denn nun einer der beiden Ansätze sicherer?

Meiner Meinung nach ja! Die erste Variante ist durch die Multi-Faktor-Authentifizierung sicherer. Variante 2 könnte durch einen Angriff auf das Passwort geknackt werden.

Weiterhin stellt sich diese Frage ab Mitte 2024 nicht mehr, denn in AWS wird es verpflichtend den Root User mit einem MFA Token auszustatten.

Daher empfehle ich dir zeitnah MFA für deinen Root User zu konfigurieren, sofern dies noch nicht geschehen ist.

Wann immer du so weit bist, dies sind die Arten, wie ich dich unterstützen kann:

  1. Du hast eine Produktidee und benötigst einen technischen Rat? Gerne helfe ich dir, dein Produkt optimal zu betreiben.
  2. Ich verhelfe meinen Kunden zu einer erfolgreichen Cloud-Migration und -Optimierung. Wenn du Unterstützung benötigst, lass uns reden!
  3. Du möchtest wissen, wie es um deine Cloud-Infrastruktur steht? Dann ist ein Architektur-Review für dich interessant!
Share the Post:

Verwandte Beiträge

Werksstudent als Cloud-Engineer (m/w/d)

Bist du Student*in der (Wirtschafts-)Informatik oder eines verwandten Fachs und an herausfordernden IT-Projekten interessiert? Dann könnte eine Werkstudentenposition im Cloud-Bereich bei uns der perfekte Schritt sein. Du hilfst, Cloud-Infrastrukturkomponenten zu entwickeln und kannst deine Fähigkeiten in Terraform und AWS vertiefen. Wir bieten moderne Arbeitsmittel, flexible Arbeitszeiten und bis zu 6 Wochen Urlaub. Unser AWS Solutions Architect wird dein Mentor sein.

Read More

Verbessere deine Cloud-Infrastruktur!