- Я хочу удалить все настройки своей учетной записи AWS.
- Возможно ли просто вернуть настройки учетной записи к настройкам по умолчанию?
Я храню свои учетные записи AWS гораздо более бережно и аккуратно, чем свои личные пароли. Никакой электронной почты, никаких номеров телефонов, только номер учетной записи. В день публикации этого сообщения, 2 августа 2017 года, в одном только канале Slack будет более 2500 просроченных токенов AWS. И это канал, посвященный безопасности учетных записей специально для людей в IRC-сетях. Вы должны понимать, что это происходит по всему интернету каждый день с такими компаниями, как Slack, имеющими свои собственные каналы безопасности, потому что они почти каждый день подвергаются атакам хакеров, пытающихся войти в их учетные записи, поскольку они не используют MFA или любую форму многофакторной аутентификации, которая мгновенно решила бы эту проблему…
Настоящий ответ здесь — многофакторная аутентификация (MFA). Вы сошли с ума, если не включили MFA в своей учетной записи AWS. Итак, давайте начнем.
Зайдите на сайт https://aws.amazon.com/security/faqs/ и проверьте, что он все еще работает после недавнего сбоя S3 и устранили ли они недостаток, о котором я сообщал в начале 2016 года, который позволял людям удаленно захватывать учетные записи других пользователей, не нуждаясь в их секретном ключе, а просто имея действительный ключ доступа для создания новых учетных записей для того, кого вы хотите захватить с помощью атаки Cloudfront с подменой URL… Нет? Хорошо… идем дальше….
Запишите номер телефона по умолчанию (тот, что крайний слева), так как он может понадобиться вскоре после нажатия кнопки включения. Вы всегда сможете изменить его позже, если захотите зарегистрировать свой телефон или использовать Gmail Authenticator. А пока просто введите этот быстрый код: 21495730# и нажмите кнопку продолжить. Вы должны получить текстовое сообщение с текстом «Код аутентификации». Введите его в поле ввода, затем нажмите на следующий шаг, пока не окажетесь на этом экране, где вы настраиваете MFA для всех ключей доступа и пользователей. Хитрость здесь в том, чтобы выбрать всех для всего, кроме самого root. Конечно, вы можете позволить ему отправлять коды учетной записи root, но вы также хотите предотвратить возможность злоумышленников завладеть вашей учетной записью AWS, верно? Не волнуйтесь, вы все равно сможете нормально войти в систему в любом случае, это просто дополнительные меры безопасности.
Если вы вошли в веб-браузер как пользователь, не являющийся root (или если есть другие люди, которые вошли в систему как root или имеют ключи доступа, связанные с сессиями браузера), то Amazon, вероятно, предложит им изменить свой код, что сделает MFA обязательным для всех, кто входит в систему через любую сессию браузера. Вот почему я сначала отключил флажок «Включить многофакторную аутентификацию» для учетной записи root, чтобы я мог войти в систему под своим пользователем и получить код, отправленный на мой телефон, не прерываясь на запрос о замораживании MFA.
Это будет интересно, если на вашей учетной записи AWS уже есть много пользователей, которые привыкли просто добавлять свой ключ доступа и использовать его как 1234abcd… Что подводит меня к следующему шагу.
Если они в настоящее время не вошли в сеанс SSH, то они вам больше не понадобятся, так как все они теперь будут вынуждены использовать MFA, верно? У вас не должно быть никаких существующих ключей доступа, срок действия которых не истекает в течение нескольких дней, если вы выбрали рекомендуемые настройки в предыдущем окне.
Начните с поиска всех пользователей на вашей учетной записи AWS с помощью этой команды… aws iam list-users -query «Users[].[Arn]» -output text Обязательно замените [ARN] на arn пользователя, которого вы пытаетесь найти, и добавьте | grep -v primary|grep -v «^$», чтобы не получить результат, похожий на этот:
FAQ :
Чтобы удалить связь между учетной записью AWS и организацией VMware Cloud Director, можно сбросить учетную запись AWS. Если учетная запись AWS является общей для организаций VMware Cloud Director, вы не сможете удалить ведра и объекты из Amazon S3.
Вы должны войти в консоль управления AWS Management Console как пользователь root своей учетной записи.
Чтобы закрыть учетную запись, необходимо установить все флажки, а затем нажать Close Account.
При настройке учетной записи AWS вам нужно будет создать пользователей IAM с соответствующими правами. Служба токенов безопасности Amazon Web Services Security Token Service (AWS SSO) предоставляется без дополнительной платы и снижает сложность повторяющейся настройки и управления, легко интегрируясь с другими службами AWS.
Если вы видите страницу входа в IAM, выберите «Войти, используя электронную почту корневого пользователя» в нижней части страницы. Это вернет вас на главную страницу входа в систему. Оттуда вы можете нажать «Войти как root» и ввести информацию о своей учетной записи AWS.