We ontdekken dat ons AWS-root account geen MFA heeft

Root zonder MFA is geen klein huishoudpunt, dat is een vol-rood incident. Iedereen met dat wachtwoord kan onbeperkt afrekenen op jullie creditcard.

Probeer dit eerst zelf

1. 1Stop met andere taken. Eerst MFA aan op root: log in als root, ga naar IAM > Security credentials > Multi-factor authentication, registreer een hardware-token of TOTP-app op een telefoon die niet van die ene admin is.
2. 2Bewaar de MFA recovery codes in een wachtwoordkluis met meerdere personen toegang. Een persoon met root-MFA en uitsluitend op hun eigen telefoon: dat is je volgende incident.
3. 3Roteer het root-wachtwoord direct na het aanzetten van MFA. Was het ergens in een wiki of mail? Aannemen dat het al gelekt is, niet hopen dat het meeviel.
4. 4Activeer CloudTrail in alle regio's en controleer de laatste dertig dagen op login-events vanaf root. Onbekende IP's of regio's: dan ben je ingebroken en is dit een gegevenslek-vraag, geen IT-vraag meer.
5. 5Stel een policy in dat root vanaf nu niet voor dagelijks werk gebruikt wordt. Maak admin-users in IAM Identity Center, beleg root in een kluis, gebruik hem alleen voor wat alleen root kan (account sluiten, support-plan wijzigen).

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.