通常,我们有 3 个人拥有超级用户访问权限和 3 个用户名/密码的规则,如果有人离职(他们离开或被解雇)、休假、生病、时区不同,有人仍然有访问权限,我们永远不会陷入困境。当查看 AWS 时,我不明白为什么似乎只有一个 AWS“根帐户”和密码。似乎拥有城堡钥匙的人在这种情况下永远不会被解雇,或者更确切地说,只要你向他索要单个帐户(尤其是当它与 MFA 绑定时),他就会知道。
我是不是漏掉了什么?我们能为另外 2 个人添加一个“超级用户”,让他们有权删除 root 帐户吗?
在 devops 中,这已在 Linux、Windows 等系统中完成多年。
哦,为了合规,所有账户也需要启用 MFA,这意味着我们实际上也不能共享这个根账户。其他人如何处理这个问题,以便在其他人生病时有 3 个不同的人可以支持公司?
天哪,如果掌握 root 密码/登录名的人死了怎么办?公司会不会倒闭?
谢谢!
答案1
只有极少数任务真正需要 AWS 根账户或 AWS Organizations 中的等效管理账户。
看:
为你的同事分配适当的角色,并将相关权限委托给正确的人员,这样几乎就不需要根访问权限了。否则,从设计上来说,获取根访问权限可能会很困难,例如需要前往办公室从公司保险箱获取 MFA 令牌。
听起来您的组织足够大,您应该已经切换到AWS Organizations:https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html
然后遵循以下指南: