AWS: Jak nie strzelić sobie w kolano poprzez Multi-factor authentication (MFA) ?

 

Wyobraźmy sobie taki dzień… 4:30 rano…. startujemy z tematem poznania IAM (Identity and Access Management) czyli modułu AWSowego służącego do zarządzania uprawnieniami użytkowników do konta AWS oraz do zasobów z nimi związanych.

Wybieramy moduł IAM z sekcji “Security, Identity & Compliance”

Zanim zaczniemy dalej poznawanie funkcjonalności oczom naszym ukazuje się sekcja nazwana “Security Status”, która wskazuje na opcje ,które warto było by skonfigurować w celu spełnienia pewnych norm bezpieczeństwa swojego konta.

Opcja która mnie zainteresowała to: Activate MFA on your root account

Opcja ta daje m.in. dodatkowe zabezpieczenie podczas logowania się do konsoli AWS (proces poniżej)

Opcje można włączyć na parę sposobów opisanych w dokumentacji. Jeden ze sposobów (z użyciem smartfonu), którego sam używam pokażę poniżej:

Wracając do sekcji “Security Status” w IAM klikamy “Activate MFA on your root account” i dalej “Manage MFA

Po tej operacji kiedy wylogujemy się z konta i będziemy logowaćsię ponownie zostaniemy poproszeni o dodatkowy kod, który przepisujemy z aplikacji na smartfonie zgodnie z opisem poniżej:

Jeśli po wcisinięciu przycisku “Sign in…” zobaczysz konsole AWS to wszystko działa świetnie ! Gratuluje ! 

Co jednak jeśli przykładowo stracimy smartfona, usuniemy aplikacje lub jak to było w moim przypadku usunąłem zainstalowany w aplikacji na smartfonie zczytany wcześniej kod QR ( który zawierał w sobie powiązaną konfigurację do mojego konta w AWS ). W konsekwencji straciłem możliwość zalogowania się do konta.

Wówczas zostaje tylko:

W następnym kroku przechodzimy do formularza gdzie proponuję szczerze opisać dlaczego straciliśmy kontakt z naszym kontem. W moim przypadku po ok. 20 sekundach od zatwierdzenia formularza telefon oddzwonił z “żywym” operatorem. Po weryfikacji mailowej (gdzie dostałem kod do przedyktowania wsparciu technicznemu) została funkcja Multi-factor authentication wyłączona i następnie mogłem już logować się do konsoli AWS tradycyjnym sposobem.

Dlatego też serdecznie polecam słuchać co mówi dokumentacja odnośnie tej usługi:

We recommend that when you configure a virtual MFA device to use with AWS that you save a copy of the QR code or the secret key in a secure place. That way, if you lose the phone or have to reinstall the MFA software application for any reason, you can reconfigure the app to use the same virtual MFA. This avoids the need to create a new virtual MFA in AWS for the user or root account.

Czyli zapisać gdzieś sobie QR kod albo sekretny kod otrzymywany podczas aktywacji funkcji podwójnego uwierzytelnienia aby później samodzielnie odtworzyć konfiguracje MFA na smartfonie.

Powyższy opis stanowi mały wycinek komponentów AWSowego świata. Mam nadzieję iż wyciągniesz z niego jakieś wnioski i będzie pomocny w projektowaniu własnych rozwiązań. Jeśli chciałbyś być na bieżąco z materiałami, które będę dla Ciebie przygotowywał zasubskrybuj kanał.

 

Informacje o nowych artykułach, świecie wirtualizacji i "cloud computingu" prosto na Twojego maila:

Dodam Cię do listy mailowej, z której możesz wypisać się w dowolnym momencie (jeden klik.) | Polityka Prywatności