Der AWS Root User hat so viele Berechtigungen, dass man sein Passwort am besten in einem Safe verschließt und für die tägliche Arbeit nicht verwendet. Doch genügt das Wegschließen des Passworts? Kannst du nicht noch mehr für die Sicherheit des Passworts und damit getätigte Änderungen tun?
Dies dachte sich auch einer meiner Kunden und stellte mir die folgende Frage.
Hi Hendric,
welches Vorgehen würdest du empfehlen, um den Root-User des Root-Accounts zu sichern? Wir möchten erreichen, dass wir uns nur im 4-Augen Prinzip mit dem User einloggen können.
1. Person A hat das Kennwort – Person B das MFA
2. Das Kennwort wird in zwei Teile aufgeteilt und eine Hälfte Person A, die andere Hälfte Person B geben
Viele Grüße
Diese Frage ist relativ kurz, aber hat extrem große Auswirkungen und es stellen sich eine ganze Reihe neuer Fragen:
- Gibt es noch eine dritte Variante?
- Was ist, wenn eine der beiden Personen einen Unfall hat oder verstirbt?
- Was ist, wenn das MFA Gerät verschwindet?
- Ist einer der beiden Ansätze sicherer?
Das Gute vorweg: Die meisten dieser Fragen sind dokumentiert und lassen sich schnell beantworten.
Meiner Meinung nach gibt es keine sinnvolle dritte Variante, die das 4-Augen Prinzip umsetzt.
Wenn ein AWS Kunde ein Passwort vergisst, kann dieses mithilfe der Root User E-Mail Adresse wiederhergestellt werden. Der Prozess ist sehr simpel und in der AWS Dokumentation beschrieben.
Beim Verlust des Root User MFA Gerätes gibt es verschiedene Varianten zur Wiederherstellung:
- Mit einem zweiten MFA Gerät, sofern dies konfiguriert ist
- Mithilfe der E-Mail Adresse und der Telefonnummer des „Primary Contacts“. Dieser kann von einem IAM User mit Administratorrechten gesetzt werden und sollte aktuell gehalten werden.
Auch dieser Prozess ist natürlich in der AWS Dokumentation aufgeführt.
Ist denn nun einer der beiden Ansätze sicherer?
Meiner Meinung nach ja! Die erste Variante ist durch die Multi-Faktor-Authentifizierung sicherer. Variante 2 könnte durch einen Angriff auf das Passwort geknackt werden.
Weiterhin stellt sich diese Frage ab Mitte 2024 nicht mehr, denn in AWS wird es verpflichtend den Root User mit einem MFA Token auszustatten.
Daher empfehle ich dir zeitnah MFA für deinen Root User zu konfigurieren, sofern dies noch nicht geschehen ist.