← Регионы, зоны доступности и…IAM: пользователи, роли и п… →

Настройка аккаунта и root-пользователь

Первые и самые важные шаги после регистрации аккаунта AWS.

Root-пользователь — главный аккаунт AWS, созданный при регистрации по email; имеет полный неограниченный доступ ко всему, включая закрытие аккаунта и биллинг.

Почему первая настройка критична

Аккаунт AWS привязан к вашей банковской карте. Если злоумышленник получит доступ, он может поднять дорогие ресурсы и оставить вас с огромным счётом. Поэтому безопасность аккаунта — не «когда-нибудь потом», а первое, что делают сразу после регистрации.

Root-пользователь: мощь и опасность

Root может всё. Именно поэтому его нельзя использовать для повседневной работы. Лучшая практика: защитить root, а дальше создавать обычных пользователей IAM с ограниченными правами и работать под ними.

Чек-лист первой настройки

  • Включите MFA на root. Многофакторная аутентификация требует код из приложения-аутентификатора вдобавок к паролю.
  • Не создавайте access keys для root. Программный доступ нужен IAM-пользователям и ролям, а не root.
  • Задайте надёжный пароль и храните его в менеджере паролей.
  • Настройте контакты для биллинга и бюджетные оповещения.
  • Создайте админ-пользователя IAM и работайте под ним, а root уберите «в сейф».
root (email)  ->  включить MFA, спрятать, использовать почти никогда
   |
   +-- IAM admin     -> повседневное администрирование
   +-- IAM developer -> ограниченные права под задачи
   +-- IAM роли      -> для сервисов и приложений

Как работает под капотом

Root-пользователь идентифицируется именно по email-адресу аккаунта, а не по имени пользователя IAM. У него нет политик, которые можно ограничить, — права root заданы самой платформой и неотключаемы. Поэтому единственная защита root — это невозможность войти под ним: сильный пароль плюс MFA. MFA работает по стандарту TOTP: приложение и сервер AWS независимо вычисляют одинаковый шестизначный код на основе общего секрета и текущего времени, и код меняется каждые 30 секунд.

Частые ошибки

  • Работать каждый день под root. Одна утечка — и под угрозой весь аккаунт без возможности ограничить ущерб.
  • Создавать access keys для root. Такой ключ — отмычка ко всему; его утечка катастрофична.
  • Откладывать MFA. Пароль без второго фактора подбирается и фишится; MFA закрывает большинство атак.

Итог

  • Root-пользователь всемогущ, поэтому его защищают и почти не используют.
  • Сразу включите MFA на root и не создавайте для него access keys.
  • Для повседневной работы создайте отдельных IAM-пользователей с ограниченными правами.
Проверьте себя
1. Почему не стоит работать каждый день под root-пользователем?
AПод root медленнее интерфейс
BУ root неограниченные права, и его утечка ставит под угрозу весь аккаунт
CRoot не может создавать ресурсы
DТак требует закон
2. Что нужно включить на root в первую очередь?
AAccess keys для программного доступа
BМногофакторную аутентификацию (MFA)
CПубличный доступ к аккаунту
DАвтоматическое создание серверов