Những phương pháp hay nhất về IAM nào giúp cải thiện bảo mật cho một tài khoản AWS? (Chọn HAI đáp án.)
Câu hỏi chọn hai phương pháp hay nhất về bảo mật IAM.
Cấp PowerUserAccess cho tất cả lập trình viên theo mặc định để công việc không bị gián đoạn do thiếu quyền.
PowerUserAccess là một chính sách được quản lý rất rộng cho phép gần như mọi hành động, ngoại trừ quản trị IAM.
Việc cấp quyền rộng theo mặc định vì lý do tiện lợi vi phạm nguyên tắc đặc quyền tối thiểu và làm tăng phạm vi thiệt hại khi xảy ra sai sót hoặc rò rỉ thông tin xác thực, nên đây là đáp án sai.
Bật MFA cho người dùng có đặc quyền và người dùng root.
Chính xác. MFA (xác thực đa yếu tố) là cơ chế yêu cầu một yếu tố xác minh bổ sung, chẳng hạn mã dùng một lần từ ứng dụng xác thực, ngoài mật khẩu khi đăng nhập. Bật MFA cho người dùng có đặc quyền và người dùng root giúp ngăn đăng nhập trái phép ngay cả khi mật khẩu bị rò rỉ. Tài khoản càng quan trọng thì càng nên dùng MFA.
Chỉ cấp cho người dùng các quyền tối thiểu cần thiết cho công việc.
Chính xác. Tuân theo nguyên tắc đặc quyền tối thiểu và chỉ cho phép các hành động cần thiết giảm thiểu tác động khi xảy ra rò rỉ hoặc sai sót. Đây là nền tảng của thiết kế IAM.
Phát hành khóa truy cập dài hạn cho ứng dụng thay vì dùng IAM role.
Khóa truy cập dài hạn phải được xoay vòng và thu hồi thủ công và có thể bị lạm dụng trong thời gian dài nếu rò rỉ.
Phương pháp hay nhất là dùng thông tin xác thực tạm thời thông qua IAM role cho ứng dụng trên EC2, nên việc dùng khóa dài hạn thường xuyên không được khuyến nghị và đây là đáp án sai.
Nếu đã đặt MFA cho người dùng root thì có thể bỏ qua MFA cho người dùng IAM.
Việc đặt MFA cho người dùng root tự nó là một phương pháp hay nhất đúng, nhưng người dùng IAM có đặc quyền nếu bị chiếm đoạt cũng có thể gây thiệt hại lớn, nên không thể loại họ ra khỏi diện bật MFA.
Khuyến nghị là bật MFA cho người dùng có đặc quyền bên cạnh người dùng root, nên việc cho rằng có thể bỏ qua là sai và đây là đáp án sai.
Phương pháp hay nhất về IAM: MFA cho người dùng có đặc quyền/root, cấp đặc quyền tối thiểu, tránh dùng root hằng ngày, không hard-code khóa truy cập, và dùng role cùng thông tin xác thực tạm thời.