AWS Root Passwort: Warum du bald handeln musst.

Der AWS Root User hat so viele Berechtigungen, dass man sein Passwort am besten in einem Safe verschließt und für die tägliche Arbeit nicht verwendet. Doch genügt das Wegschließen des Passworts? Kannst du nicht noch mehr für die Sicherheit des Passworts und damit getätigte Änderungen tun?

Dies dachte sich auch einer meiner Kunden und stellte mir die folgende Frage.

Hi Hendric,

welches Vorgehen würdest du empfehlen, um den Root-User des Root-Accounts zu sichern? Wir möchten erreichen, dass wir uns nur im 4-Augen Prinzip mit dem User einloggen können.

1. Person A hat das Kennwort – Person B das MFA

2. Das Kennwort wird in zwei Teile aufgeteilt und eine Hälfte Person A, die andere Hälfte Person B geben

Viele Grüße

Diese Frage ist relativ kurz, aber hat extrem große Auswirkungen und es stellen sich eine ganze Reihe neuer Fragen:

  • Gibt es noch eine dritte Variante?
  • Was ist, wenn eine der beiden Personen einen Unfall hat oder verstirbt?
  • Was ist, wenn das MFA Gerät verschwindet?
  • Ist einer der beiden Ansätze sicherer?

Das Gute vorweg: Die meisten dieser Fragen sind dokumentiert und lassen sich schnell beantworten.

Meiner Meinung nach gibt es keine sinnvolle dritte Variante, die das 4-Augen Prinzip umsetzt.

Wenn ein AWS Kunde ein Passwort vergisst, kann dieses mithilfe der Root User E-Mail Adresse wiederhergestellt werden. Der Prozess ist sehr simpel und in der AWS Dokumentation beschrieben.

Beim Verlust des Root User MFA Gerätes gibt es verschiedene Varianten zur Wiederherstellung:

  1. Mit einem zweiten MFA Gerät, sofern dies konfiguriert ist
  2. Mithilfe der E-Mail Adresse und der Telefonnummer des “Primary Contacts”. Dieser kann von einem IAM User mit Administratorrechten gesetzt werden und sollte aktuell gehalten werden.

Auch dieser Prozess ist natürlich in der AWS Dokumentation aufgeführt.

Ist denn nun einer der beiden Ansätze sicherer?

Meiner Meinung nach ja! Die erste Variante ist durch die Multi-Faktor-Authentifizierung sicherer. Variante 2 könnte durch einen Angriff auf das Passwort geknackt werden.

Weiterhin stellt sich diese Frage ab Mitte 2024 nicht mehr, denn in AWS wird es verpflichtend den Root User mit einem MFA Token auszustatten.

Daher empfehle ich dir zeitnah MFA für deinen Root User zu konfigurieren, sofern dies noch nicht geschehen ist.

Du möchtest mithilfe der Cloud durchstarten? Dann kann ich dir auf dreierlei Weise meine Unterstützung anbieten:
  1. Mein Well-Informed Newsletter erscheint alle zwei Wochen und hält dich auf dem neusten Stand.
  2. In einem AWS Well-Architected Review entfalten wir deine vollen Potenziale!
  3. Bei einem persönlichen Beratungsgespräch lösen wir deine Probleme.
Du benötigst noch mehr Informationen? Dann nimm gerne direkt Kontakt mit mir auf.


    Bitte lese dir unsere Datenschutzerklärung durch.

    Picture of Hendric Jabs

    Hendric Jabs

    Ich bin Wirtschaftsinformatiker (M. Sc.) und AWS Cloud Solutions Architect. Seit 2014 beschäftige ich mich leidenschaftlich mit Amazon Web Services und habe bereits seit 2015 einer Vielzahl von Kunden zu einer erfolgreichen Cloud Nutzung verholfen. Im Jahr 2021 habe ich für das Digital Career Institute den ersten AWS re/Start Kurs in Deutschland als leitender Dozent durchgeführt.
    LinkedIn
    XING
    Email