aws

2 aws включение MFA

Thank you for reading this post, don't forget to subscribe!

Одно­вре­мен­но c созда­ни­ем учёт­ной запи­си, созда­ёт­ся и root user. Этот поль­зо­ва­тель име­ет неогра­ни­чен­ные воз­мож­но­сти и без­услов­ный доступ ко всем угол­кам систе­мы, а зна­чит, любой, полу­чив­ший пароль, волен вно­сить любые изме­не­ния, созда­вать или уда­лять всё, что захочет.

Пер­вое, что мы долж­ны сде­лать - это защи­тить учёт­ную запись root, а луч­ший спо­соб сде­лать это - вклю­чить мно­го­фак­тор­ную аутен­ти­фи­ка­ция. Таким обра­зом, кра­жа паро­ля ниче­го не даст зло­умыш­лен­ни­ку - для вхо­да в систе­му потре­бу­ет­ся ещё и аппа­рат­ный ключ без­опас­но­сти или хотя бы мобиль­ный теле­фон вла­дель­ца учёт­ной записи.

Что­бы вклю­чить MFA, нажми­те на имя учёт­ной запи­си в пра­вом верх­нем углу экра­на, а затем выбе­ри­те “My Security Credentials”.

На открыв­шей­ся стра­ни­це мож­но управ­лять раз­ны­ми спо­со­ба­ми досту­па, но нас сей­час инте­ре­су­ет толь­ко MFA. Рас­крой­те эту вклад­ку и нажми­те Activate MFA.

В сле­ду­ю­щем всплы­ва­ю­щем окне нам пред­сто­ит выбрать тип устрой­ства, а точ­нее - выбрать, что имен­но ста­нет вто­рым фак­то­ром аутен­ти­фи­ка­ции. AWS под­дер­жи­ва­ет такие клю­чи как U2F (напри­мер, YubiKey) и Gemalto, но нам пока хва­тит и обыч­но­го мобиль­но­го теле­фо­на: пер­вым вари­ан­том пред­ла­га­ет­ся Virtual MFA Device, то есть спе­ци­аль­ная про­грам­ма, запу­щен­ная на смартфоне.

Сле­ду­ю­щим шагом при­дёт­ся уста­но­вить её на ваш теле­фон: AWS реко­мен­ду­ет спи­сок из пяти раз­лич­ных при­ло­же­ний, вклю­чая вари­ан­ты от Google и Microsoft. Все они бес­плат­ны и доступ­ны как для Android, так и IPhone. MFA исполь­зу­ет­ся всё чаще и чаще, так что такое при­ло­же­ние у вас уже может быть, тогда ниче­го уста­нав­ли­вать не надо.

Android:

Apple:

Далее в кур­се мы будем исполь­зо­вать при­ло­же­ние от Google, но вы може­те исполь­зо­вать то, кото­рое вам боль­ше по душе.

После уста­нов­ки при­ло­же­ния вам пред­ло­жат под­клю­чить ваш пер­вый акка­унт. Сме­ло выби­рай­те Scan a QR code:

Тем вре­ме­нем, Amazon уже под­го­то­вил всё для нас и готов пока­зать тот самый QR код, кото­рый ждёт ваше при­ло­же­ние. Нажми­те на Show QR Code и про­ска­ни­руй­те его уста­нов­лен­ным при­ло­же­ни­ем аутентификации.

В вашем при­ло­же­нии появит­ся новая запись: AWS Root User. Обра­ти­те вни­ма­ние на бегу­щий круг спра­ва - сге­не­ри­ро­ван­ный код дей­стви­те­лен толь­ко в тече­ние 30 секунд вско­ре будет заме­щён новым.

Теперь в окне управ­ле­ния AWS надо вве­сти два кода от этой запи­си после­до­ва­тель­но: вве­ди­те пер­вый как MFA Code 1, подо­жди­те, пока он сме­нит­ся сле­ду­ю­щим и вве­ди­те его как MFA code 2. Если вы слу­чай­но про­пу­сти­ли один код - ниче­го страш­но­го, про­сто сотри­те пер­вый и нач­ни­те заново.

Как толь­ко вы вве­дё­те два после­до­ва­тель­ных кода, жми­те на Assign MFA!

ВАЖНО Утра­та устрой­ства авто­ри­за­ции может стать про­бле­мой, если у вас сме­нил­ся номер теле­фо­на, а в учёт­ной запи­си AWS это не отра­же­но. Дер­жи­те кон­такт­ные дан­ные вер­ны­ми, а номер теле­фо­на акту­аль­ным, тогда вос­ста­но­вить доступ будет несложно.

У меня такое одна­жды слу­чи­лось, и при­шлось про­хо­дить доволь­но слож­ный про­цесс с под­твер­жде­ни­ем лич­но­сти, пас­пор­том и так далее.

Давай­те про­ве­рим, как это рабо­та­ет? Вый­ди­те из систе­мы, нажав на имя учёт­ной запи­си в пра­вом верх­нем углу и Sign Out

Жмём на Sign In to the Console и захо­дим как “Root user”

После вво­да паро­ля появит­ся новое, пока незна­ко­мое окно. Здесь нуж­но вве­сти код из при­ло­же­ния аутен­ти­фи­ка­ции, кото­рое мы недав­но уста­но­ви­ли. Обра­ти­те вни­ма­ние, что если вы уже исполь­зо­ва­ли это при­ло­же­ние рань­ше, в нём может быть несколь­ко учёт­ных запи­сей из дру­гих систем, исполь­зу­ю­щих MFA, напри­мер Github или Google. Вам нуж­но исполь­зо­вать код из соот­вет­ству­ю­щей запи­си (AWS Root user).

Вво­ди­те код и, если всё про­шло удач­но, поздрав­ля­ем! Теперь ваша учёт­ная запись надёж­но защищена!