¿Cuál es la mejor práctica MÁS adecuada para el manejo del usuario raíz (root) de una cuenta de AWS?
Elegir la forma correcta de manejar el usuario raíz (mejor práctica).
No usarlo para el trabajo diario, habilitar MFA y almacenar las credenciales de forma segura.
Correcto. El usuario raíz tiene los permisos más potentes de la cuenta, por lo que no debe usarse para el trabajo diario; realice las tareas necesarias con usuarios o roles de IAM con permisos reducidos. La mejor práctica es habilitar MFA en el usuario raíz y almacenar sus credenciales de forma segura.
Compartir las credenciales del usuario raíz con todos los desarrolladores.
Como el usuario raíz tiene los permisos más altos, compartir sus credenciales es un riesgo grave.
Además, no es posible rastrear quién realizó las acciones, lo cual es lo opuesto a la mejor práctica, por lo que es incorrecto.
Realizar todas las operaciones diarias como usuario raíz.
Las operaciones diarias como usuario raíz hacen que el daño por errores o fugas sea enorme.
El trabajo diario debe realizarse con usuarios de IAM con privilegios mínimos, por lo que es incorrecto.
Dejar MFA deshabilitado para el usuario raíz.
El usuario raíz es la cuenta que más necesita protección, por lo que deshabilitar MFA es peligroso.
La mejor práctica es habilitar MFA, por lo que es incorrecto.
Para el usuario raíz, las reglas son no usarlo a diario / habilitar MFA / almacenar las credenciales de forma segura / usar IAM con privilegios mínimos para el trabajo diario. Compartirlo, operarlo a diario y deshabilitar MFA son todos antipatrones peligrosos.
・MFA (autenticación multifactor): además de una contraseña, requiere otro factor como un código de un solo uso para reforzar la verificación de identidad.
・SSO (inicio de sesión único): una sola autenticación permite iniciar sesión en varias cuentas y aplicaciones (en AWS, lo proporciona IAM Identity Center).