MFA在根AWS帐户上的最佳实践

Question

我想在我的组织的AWS根帐户上启用多因素身份验证，但是我不确定如何这样做的最佳实践。

对于每个需要访问的人，我们已经有了单独的IAM帐户；大多数每个帐户的权限都非常有限，但是我们中的一些人可以通过IAM完全访问管理员。要求MFA为每个用户的IAM帐户是容易的，因为他们都可以设置谷歌认证或Authy在他们的个人设备。然而，对根帐户做同样的事情似乎是不明智的，因为它会限制对单个人的访问(这并不是非常不符合总线要求的)。我有几个想法：

1. 启用MFA并让2-3管理员同时扫描QR代码(用于根帐户)。
2. 创建一个包含此用途的共享Authy帐户，并在某个安全的地方记录密码，如果需要，管理员可以访问它。

有什么最好的做法来做这个或另一个选项我错过了吗？

Answer 1

我使用的另一个选项是将硬件令牌(就像RSA会卖给您的)同步到帐户，然后将令牌放在公司安全的地方。只要您保持安全的物理安全，令牌是受到保护的。从保险箱中取出令牌的过程会很烦人(应该只有少数人能够访问它，并有打开它的过程)，但这是可以的，因为您没有定期使用根帐户，只是为了紧急恢复目的。

Answer 2

下面是我如何为这个问题编写一个解决方案：

HahsiCorp的Vault产品允许您记录对任何凭据的所有访问，它支持TOTP散列，允许您读取当前值，而不是秘密密钥。若要使用根访问，请从Vault获取当前令牌。

为了确保您不会失去访问权限，请进行良好的备份。要确保备份不受影响，请将主解密与组织中适当数量的个人拆分，并将其加密到硬件令牌上的PGP密钥。

这样，只要Vault实例正在运行，任何授权人员都可以使用根凭据，您就会知道是谁运行的。实际上，要想获得MFA的根本秘密，就需要多个人之间的勾结。