是否有一个团队管理AWS根键的解决方案？

Question

在我们的公司，我们有一个专门的团队来管理我们的AWS足迹。每个开发/应用程序团队，我们提供一个新的帐户与VPC和一些网络连接到我们的泛银河网络网。但是，帐户所有者的根密钥由我们的AWS管理团队保存和管理。devs被分配给拥有超级管理特权的IAM帐户，所以他们几乎可以做他们想做的任何事情，但是我们仍然保持主控制。

问题是，有了一个团队，您就无法轻松地创建根帐户并将MFA附加到其中。Amazon有一些建议，基本上可以归结为在帐户上设置一个复杂的冗长密码，然后就会丢失密码。

是否有解决方案可以让团队中的一组人管理一个通用的MFA，这样我们就可以在根帐户上启用MFA？

Answer 1

在一个安全的AWS帐户中，根帐户只应该用作“紧急情况下的碎玻璃”。用户应该使用IAM帐户作为他们的“每日驱动”。我将在根帐户上启用MFA，并打印或保存QR代码的副本。把它放在保险柜或保险库里。只有当你需要的时候才把它拔出来。

您可以多次扫描MFA QR代码，以便为MFA设置多个设备。