Quelle est la meilleure pratique LA PLUS appropriée pour gérer l'utilisateur racine (root user) d'un compte AWS ?
Choisir la bonne manière de gérer l'utilisateur racine (meilleure pratique).
Ne pas l'utiliser pour le travail quotidien, activer la MFA et stocker les identifiants en lieu sûr.
Correct. L'utilisateur racine dispose des autorisations les plus puissantes du compte, il ne faut donc pas l'utiliser pour le travail quotidien ; effectuez les tâches nécessaires avec des utilisateurs ou des rôles IAM aux autorisations restreintes. La meilleure pratique consiste à activer la MFA sur l'utilisateur racine et à stocker ses identifiants en lieu sûr.
Partager les identifiants de l'utilisateur racine avec tous les développeurs.
Comme l'utilisateur racine dispose des autorisations les plus élevées, partager ses identifiants est un risque grave.
Vous ne pouvez pas non plus retracer qui a effectué les actions, ce qui est l'inverse de la meilleure pratique, c'est donc incorrect.
Effectuer toutes les opérations quotidiennes en tant qu'utilisateur racine.
Les opérations quotidiennes en tant qu'utilisateur racine rendent les dommages des erreurs ou des fuites énormes.
Le travail quotidien doit être effectué avec des utilisateurs IAM à privilèges minimaux, c'est donc incorrect.
Laisser la MFA désactivée pour l'utilisateur racine.
L'utilisateur racine est le compte qui a le plus besoin de protection, donc désactiver la MFA est dangereux.
La meilleure pratique est d'activer la MFA, c'est donc incorrect.
Pour l'utilisateur racine, les règles sont ne pas l'utiliser au quotidien / activer la MFA / stocker les identifiants en lieu sûr / utiliser des IAM à privilèges minimaux pour le travail quotidien. Le partage, les opérations quotidiennes et la désactivation de la MFA sont tous des anti-modèles dangereux.
・MFA (authentification multifacteur) : en plus d'un mot de passe, elle exige un autre facteur tel qu'un code à usage unique pour renforcer la vérification de l'identité.
・SSO (authentification unique) : une seule authentification permet de se connecter à plusieurs comptes et applications (sur AWS, fournie par IAM Identity Center).