Thank you for reading this post, don't forget to subscribe!
Одновременно c созданием учётной записи, создаётся и root user. Этот пользователь имеет неограниченные возможности и безусловный доступ ко всем уголкам системы, а значит, любой, получивший пароль, волен вносить любые изменения, создавать или удалять всё, что захочет.
Первое, что мы должны сделать - это защитить учётную запись root, а лучший способ сделать это - включить многофакторную аутентификация. Таким образом, кража пароля ничего не даст злоумышленнику - для входа в систему потребуется ещё и аппаратный ключ безопасности или хотя бы мобильный телефон владельца учётной записи.
Чтобы включить MFA, нажмите на имя учётной записи в правом верхнем углу экрана, а затем выберите “My Security Credentials”.
На открывшейся странице можно управлять разными способами доступа, но нас сейчас интересует только MFA. Раскройте эту вкладку и нажмите Activate MFA.
В следующем всплывающем окне нам предстоит выбрать тип устройства, а точнее - выбрать, что именно станет вторым фактором аутентификации. AWS поддерживает такие ключи как U2F (например, YubiKey) и Gemalto, но нам пока хватит и обычного мобильного телефона: первым вариантом предлагается Virtual MFA Device, то есть специальная программа, запущенная на смартфоне.
Следующим шагом придётся установить её на ваш телефон: AWS рекомендует список из пяти различных приложений, включая варианты от Google и Microsoft. Все они бесплатны и доступны как для Android, так и IPhone. MFA используется всё чаще и чаще, так что такое приложение у вас уже может быть, тогда ничего устанавливать не надо.
Android:
Apple:
Далее в курсе мы будем использовать приложение от Google, но вы можете использовать то, которое вам больше по душе.
После установки приложения вам предложат подключить ваш первый аккаунт. Смело выбирайте Scan a QR code:
Тем временем, Amazon уже подготовил всё для нас и готов показать тот самый QR код, который ждёт ваше приложение. Нажмите на Show QR Code и просканируйте его установленным приложением аутентификации.
В вашем приложении появится новая запись: AWS Root User. Обратите внимание на бегущий круг справа - сгенерированный код действителен только в течение 30 секунд вскоре будет замещён новым.
Теперь в окне управления AWS надо ввести два кода от этой записи последовательно: введите первый как MFA Code 1, подождите, пока он сменится следующим и введите его как MFA code 2. Если вы случайно пропустили один код - ничего страшного, просто сотрите первый и начните заново.
Как только вы введёте два последовательных кода, жмите на Assign MFA!
ВАЖНО Утрата устройства авторизации может стать проблемой, если у вас сменился номер телефона, а в учётной записи AWS это не отражено. Держите контактные данные верными, а номер телефона актуальным, тогда восстановить доступ будет несложно.
У меня такое однажды случилось, и пришлось проходить довольно сложный процесс с подтверждением личности, паспортом и так далее.
Давайте проверим, как это работает? Выйдите из системы, нажав на имя учётной записи в правом верхнем углу и Sign Out
Жмём на Sign In to the Console и заходим как “Root user”
После ввода пароля появится новое, пока незнакомое окно. Здесь нужно ввести код из приложения аутентификации, которое мы недавно установили. Обратите внимание, что если вы уже использовали это приложение раньше, в нём может быть несколько учётных записей из других систем, использующих MFA, например Github или Google. Вам нужно использовать код из соответствующей записи (AWS Root user).
Вводите код и, если всё прошло удачно, поздравляем! Теперь ваша учётная запись надёжно защищена!