Выполнение задач с учетными данными пользователя root открывает AWS для потенциально катастрофических уязвимостей безопасности.
Создание и управление ключами доступа снижает этот риск.
Лучшие практики для Amazon Web Services (AWS) требуют, чтобы вы не выполняли базовые повседневные задачи, используя исходные учетные данные пользователя root, созданные при первой регистрации учетной записи AWS.
Учетные данные пользователя root обеспечивают доступ ко всему в вашей системе AWS без каких-либо ограничений, создавая потенциально катастрофическую уязвимость безопасности.
Одним из способов снижения этого риска является создание пользователя IAM и администратора с правами админа.
Второй способ снижения этой угрозы безопасности требует создания новых ключей доступа для пользователя root, а затем удаления старых ключей.
Объединение генерации новых ключей доступа для пользователя root с созданием административных пользователей и групп IAM является наиболее эффективным способом обеспечения доступа AWS на высоком уровне.
Из этого туториала Вы узнаете, как создать новые ключи доступа для пользователя root с помощью консоли AWS.
Также тут показано, как удалить старые ключи доступа после создания новых ключей.
Создайте ключ доступа для пользователя root в AWS
Чтобы создать ключ доступа для пользователя root AWS, сначала необходимо войти в систему AWS, используя учетные данные пользователя root.
Если вы обычно используете административного пользователя IAM в соответствии с рекомендациями, вам, возможно, придется щелкнуть соответствующую ссылку, чтобы перейти на правильный экран входа в систему.
В консоли AWS щелкните имя своей учетной записи, чтобы открыть раскрывающееся меню, и выберите пункт «My Security Credentials item».
Скорее всего, вы увидите предупреждающее сообщение об использовании учетных данных пользователя root и предложении использовать администратора IAM.
В этой ситуации нажмите кнопку «Continue», чтобы пойти дальше.
Нажмите стрелку вниз в разделе «Access keys», чтобы развернуть его.
Вы получите предупреждение, что не можете получить существующие секретные ключи доступа для учетной записи root AWS.
Нажмите кнопку «Create New Access Key» и запишите описание.
У вас есть единственная возможность просмотреть или загрузить свои ключи доступа – если упустите эту возможность и вы больше не сможете просматривать или загружать их снова.
Скачиваемый файл поставляется в форме .CSV, который можно прочитать в Excel или текстовом редакторе.
Обязательно сохраните ключи доступа пользователя root в надежном и безопасном месте.
Как вы можете видеть на следующем рисунке, теперь на экране Credentials указан ключ доступа.
Отсюда вы можете удалить ключ, когда он больше не используется, или сделать его неактивным, если хотите.
При необходимости неактивные ключи можно активировать, что устраняет необходимость создания новых ключей.
С активным набором ключей доступа пользователь может подписывать программные запросы на услуги AWS.
Например, когда вы пишете пользовательский код для отправки HTTP-запросов в AWS, вам необходимо включить код для подписи запросов активными ключами доступа.
Запросы будут заблокированы без подписи – простая, но эффективная мера безопасности.
