Hoe beveiligen we het AWS-root-account écht goed?
MFA is verplicht en moet bij voorkeur op een hardware-key (YubiKey). Daarna log je nooit meer in als root, behalve voor de paar acties die het echt vereisen.
Probeer dit eerst zelf
- 1Koppel twee hardware-MFA-keys aan root: een primaire (kluis) en een backup (afgeleide locatie). Alleen Authenticator-app is niet voldoende voor root.
- 2Verwijder access-keys op het root-account. Als ze er staan, weghalen, root hoort die niet te hebben.
- 3Maak een lange, gegenereerde root-wachtwoord en bewaar in een wachtwoordmanager met 2 controllers. Niet in iemands persoonlijke kluis.
- 4Zet billing-alerts en CloudTrail aan op root-account. Elke root-actie moet getriggerd worden naar je security-mailbox of Slack.
- 5Doe een test-recovery: kun je nog bij het root als de hardware-key kwijt is, met de tweede? Test eens per kwartaal voordat je het écht nodig hebt.
Wanneer ons inschakelen
Bij een vermoeden dat root is gecompromitteerd: meteen contact AWS Support en je security-officer. Niet zelf rommelen, want je triggert anders alarms die je achteraf moet uitleggen.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.