Đâu là best practice phù hợp NHẤT để xử lý người dùng gốc (root user) của một tài khoản AWS?
Chọn cách xử lý đúng đối với người dùng gốc (best practice).
Không dùng nó cho công việc hằng ngày, bật MFA, và lưu trữ thông tin xác thực một cách an toàn.
Chính xác. Người dùng gốc có quyền mạnh nhất trong tài khoản, nên bạn không nên dùng nó cho công việc hằng ngày; hãy thực hiện các tác vụ cần thiết bằng người dùng hoặc vai trò IAM có quyền thu hẹp. Best practice là bật MFA trên người dùng gốc và lưu trữ thông tin xác thực của nó một cách an toàn.
Chia sẻ thông tin xác thực của người dùng gốc với tất cả lập trình viên.
Vì người dùng gốc có quyền cao nhất, chia sẻ thông tin xác thực của nó là một rủi ro nghiêm trọng.
Bạn cũng không thể truy vết ai đã thực hiện hành động, ngược lại với best practice, nên không đúng.
Thực hiện mọi tác vụ hằng ngày bằng người dùng gốc.
Thực hiện các tác vụ hằng ngày bằng người dùng gốc khiến thiệt hại từ sai sót hoặc rò rỉ trở nên cực lớn.
Công việc hằng ngày nên dùng người dùng IAM theo nguyên tắc quyền tối thiểu, nên không đúng.
Để MFA tắt cho người dùng gốc.
Người dùng gốc là tài khoản cần được bảo vệ nhất, nên tắt MFA là nguy hiểm.
Best practice là bật MFA, nên không đúng.
Đối với người dùng gốc, các quy tắc là không dùng hằng ngày / bật MFA / lưu thông tin xác thực an toàn / dùng IAM quyền tối thiểu cho công việc hằng ngày. Chia sẻ, làm việc hằng ngày, và tắt MFA đều là các anti-pattern nguy hiểm.
・MFA (xác thực đa yếu tố): ngoài mật khẩu, còn yêu cầu một yếu tố khác như mã dùng một lần để tăng cường xác minh danh tính.
・SSO (đăng nhập một lần): một lần xác thực giúp bạn đăng nhập vào nhiều tài khoản và ứng dụng (trên AWS, được cung cấp bởi IAM Identity Center).