Schützen Sie Ihre Root-Benutzer-Anmeldedaten, um eine unbefugte Nutzung zu verhindern Verwenden eines sicheren Root-Benutzerpassworts zum Schutz des Zugriffs Schützen Sie Ihre Root-Benutzeranmeldung mit Multi-Faktor-Authentifizierung () MFA Keine Zugriffsschlüssel für den Root-Benutzer erstellen Verwenden Sie nach Möglichkeit die Genehmigung mehrerer Personen für die Anmeldung als Root-Benutzer Verwenden einer Gruppen-E-Mail-Adresse für Root-Benutzer-Anmeldeinformationen Einschränken des Zugriffs auf Mechanismen zur Kontowiederherstellung Sichern von Root-Benutzer-Anmeldedaten für Ihr Unternehmenskonto Überwachung von Zugang und Nutzung

Bewährte Methoden für Root-Benutzer für Ihren AWS-Konto

Wenn Sie zum ersten Mal ein Konto erstellen AWS-Konto, beginnen Sie mit einem Standardsatz von Anmeldeinformationen mit vollständigem Zugriff auf alle AWS Ressourcen in Ihrem Konto. Diese Identität wird als AWS-Konto -Root-Benutzer bezeichnet. Wir empfehlen dringend, dass Sie nicht auf den AWS-Konto Root-Benutzer zugreifen, es sei denn, Sie haben eine Aufgabe, für die Root-Benutzeranmeldedaten erforderlich sind. Sie müssen Ihre Root-Benutzeranmeldeinformationen und die Mechanismen zur Kontowiederherstellung sichern, um sicherzustellen, dass Sie Ihre Anmeldeinformationen mit weitreichenden Berechtigungen nicht für unbefugte Zwecke preisgeben.

Für mehrere, über Organizations AWS-Konten verwaltete Organisationen empfehlen wir, die Root-Benutzeranmeldedaten aus den Mitgliedskonten zu entfernen, um eine unbefugte Nutzung zu verhindern. Sie können das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate entfernen und die Multi-Faktor-Authentifizierung deaktivieren und löschen (MFA). Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen. Weitere Informationen finden Sie unter Verwalten Sie den Root-Zugriff für Mitgliedskonten zentral.

Anstatt auf den Root-Benutzer zuzugreifen, erstellen Sie einen Administratorbenutzer für alltägliche Aufgaben.

Wenn Sie ein neues haben AWS-Konto, finden Sie weitere Informationen unterEinrichtung Ihres AWS-Konto.
Informationen zur AWS-Konten Verwaltung mehrerer Benutzer finden Sie unter AWS-Konto Zugriff für einen IAM Identity Center-Administrator einrichten. AWS Organizations

Mit Ihrem administrativen Benutzer können Sie dann zusätzliche Identitäten für Benutzer erstellen, die Zugriff auf Ressourcen in Ihrem AWS-Konto benötigen. Wir empfehlen dringend, dass Benutzer sich beim Zugriff AWS mit temporären Anmeldeinformationen authentifizieren müssen.

Verwenden Sie diese Option für eine einzelne AWS-Konto, eigenständige Version, IAMRollen um Identitäten in Ihrem Konto mit bestimmten Berechtigungen zu erstellen. Rollen sollten von jedem übernommen werden können, der sie benötigt. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. Im Gegensatz zu IAM Rollen IAMNutzer sollten Sie über langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel verfügen. Bewährte Methoden empfehlen, sich nach Möglichkeit auf temporäre Anmeldeinformationen zu verlassen, anstatt IAM Benutzer mit langfristigen Anmeldeinformationen wie Passwörtern und Zugriffsschlüsseln zu erstellen.
Verwenden Sie IAM Identity Center Workforce-Benutzer für mehrere über Organizations AWS-Konten verwaltete Organisationen. Mit IAM Identity Center können Sie alle Benutzer AWS-Konten und die Berechtigungen innerhalb dieser Konten zentral verwalten. Verwalten Sie Ihre Benutzeridentitäten mit IAM Identity Center oder von einem externen Identitätsanbieter. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center? im AWS IAM Identity Center -Benutzerhandbuch.

Themen

Schützen Sie Ihre Root-Benutzer-Anmeldedaten, um eine unbefugte Nutzung zu verhindern
Verwenden eines sicheren Root-Benutzerpassworts zum Schutz des Zugriffs
Schützen Sie Ihre Root-Benutzeranmeldung mit Multi-Faktor-Authentifizierung () MFA
Keine Zugriffsschlüssel für den Root-Benutzer erstellen
Verwenden Sie nach Möglichkeit die Genehmigung mehrerer Personen für die Anmeldung als Root-Benutzer
Verwenden einer Gruppen-E-Mail-Adresse für Root-Benutzer-Anmeldeinformationen
Einschränken des Zugriffs auf Mechanismen zur Kontowiederherstellung
Sichern von Root-Benutzer-Anmeldedaten für Ihr Unternehmenskonto
Überwachung von Zugang und Nutzung

Schützen Sie Ihre Root-Benutzer-Anmeldedaten, um eine unbefugte Nutzung zu verhindern

Schützen Sie Ihre Root-Benutzeranmeldeinformationen und verwenden Sie sie nur für die Aufgaben, die sie erfordern. Um unbefugte Nutzung zu verhindern, geben Sie Ihr Root-Benutzerpasswort, Ihre ZugangsschlüsselMFA, CloudFront Schlüsselpaare oder Signaturzertifikate nicht an Dritte weiter, außer an Personen, die aus geschäftlichen Gründen auf den Root-Benutzer zugreifen müssen.

Speichern Sie das Root-Benutzerkennwort nicht zusammen mit Tools, die von AWS-Services einem Konto abhängen, auf das mit demselben Passwort zugegriffen wird. Wenn Sie Ihr Root-Benutzerpasswort verlieren oder vergessen, können Sie nicht auf diese Tools zugreifen. Wir empfehlen Ihnen, der Ausfallsicherheit Priorität einzuräumen und zu erwägen, dass zwei oder mehr Personen den Zugriff auf den Speicherort autorisieren müssen. Der Zugriff auf das Passwort oder dessen Speicherort sollten protokolliert und überwacht werden.

Verwenden eines sicheren Root-Benutzerpassworts zum Schutz des Zugriffs

Es empfiehlt sich, ein sicheres und eindeutiges Passwort zu verwenden. Tools wie Passwort-Manager mit starken Algorithmen zur Passwortgenerierung können Ihnen dabei helfen, diese Ziele zu erreichen. AWS setzt voraus, dass Ihr Passwort die folgenden Bedingungen erfüllt:

Es muss mindestens 8 Zeichen und maximal 128 Zeichen lang sein.
Es muss mindestens drei der folgenden Zeichentypen enthalten: Großbuchstaben, Kleinbuchstaben, Zahlen und ! @ # $ % ^ & * () <> [] {} | _+-= Symbole.
Es darf nicht mit Ihrem AWS-Konto Namen oder Ihrer E-Mail-Adresse identisch sein.

Weitere Informationen finden Sie unter Ändern Sie das Passwort für Root-Benutzer des AWS-Kontos.

Schützen Sie Ihre Root-Benutzeranmeldung mit Multi-Faktor-Authentifizierung () MFA

Da ein Root-Benutzer privilegierte Aktionen ausführen kann, ist es wichtig, neben der E-Mail-Adresse und dem Passwort als Anmeldedaten auch den Root-Benutzer als zweiten Authentifizierungsfaktor hinzuzufügenMFA. Wir empfehlen dringend, mehrere MFA für Ihre Root-Benutzeranmeldedaten zu aktivieren, um Ihrer Sicherheitsstrategie zusätzliche Flexibilität und Stabilität zu verleihen. Sie können bis zu acht MFA Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA Typen bei Ihrem AWS-Konto Root-Benutzer registrieren.

FIDOZertifizierte Hardware-Sicherheitsschlüssel werden von Drittanbietern bereitgestellt. Weitere Informationen finden Sie unter Aktivieren eines FIDO Sicherheitsschlüssels für den AWS-Konto Root-Benutzer.
Ein Hardwaregerät, das auf der Grundlage des zeitbasierten Einmalpasswort-Algorithmus (TOTP) einen sechsstelligen numerischen Code generiert. Weitere Informationen finden Sie unter Aktivieren eines TOTP Hardware-Tokens für den AWS-Konto Root-Benutzer.
Eine virtuelle Authentifizierungsanwendung, die auf einem Telefon oder einem anderen Gerät ausgeführt wird und ein physisches Gerät emuliert. Weitere Informationen finden Sie unter Aktivieren eines virtuellen MFA Geräts für Ihren AWS-Konto Root-Benutzer.

Keine Zugriffsschlüssel für den Root-Benutzer erstellen

Mit den Zugriffstasten können Sie Befehle in der AWS Befehlszeilenschnittstelle (AWS CLI) ausführen oder API Operationen über eine der Tasten ausführen AWS SDKs. Es wird dringend empfohlen, keine Zugriffsschlüsselpaare für Ihren Root-Benutzer zu erstellen, da der Root-Benutzer vollen Zugriff auf alle AWS-Services Ressourcen im Konto hat, einschließlich der Rechnungsinformationen.

Da nur für wenige Aufgaben der Root-Benutzer erforderlich ist und Sie diese Aufgaben in der Regel selten ausführen, empfehlen wir, sich bei dem anzumelden, um Root-Benutzeraufgaben ausführen AWS Management Console zu können. Bevor Sie Zugriffsschlüssel erstellen, prüfen Sie die Alternativen zu Langzeit-Zugriffsschlüsseln.

Verwenden Sie nach Möglichkeit die Genehmigung mehrerer Personen für die Anmeldung als Root-Benutzer

Erwägen Sie die Genehmigung durch mehrere Personen, um sicherzustellen, dass niemand auf beide MFA und das Passwort für den Root-Benutzer zugreifen kann. Einige Unternehmen fügen eine zusätzliche Sicherheitsebene hinzu, indem sie eine Gruppe von Administratoren einrichten, die Zugriff auf das Passwort haben, und eine weitere Gruppe von Administratoren mit Zugriff MFA auf. Ein Mitglied aus jeder Gruppe muss sich als Root-Benutzer anmelden.

Verwenden einer Gruppen-E-Mail-Adresse für Root-Benutzer-Anmeldeinformationen

Verwenden Sie eine E-Mail-Adresse, die von Ihrem Unternehmen verwaltet wird und empfangene Nachrichten direkt an eine Gruppe von Benutzern weiterleitet. Wenn der Kontoinhaber kontaktiert AWS werden muss, reduziert dieser Ansatz das Risiko von Verzögerungen bei der Beantwortung, selbst wenn Personen im Urlaub sind, krank sind oder das Unternehmen verlassen haben. Die E-Mail-Adresse, die für den Root-Benutzer verwendet wird, sollte nicht für andere Zwecke verwendet werden.

Einschränken des Zugriffs auf Mechanismen zur Kontowiederherstellung

Stellen Sie sicher, dass Sie einen Prozess zur Verwaltung der Wiederherstellungsmechanismen für Root-Benutzer-Anmeldeinformationen entwickeln, für den Fall, dass Sie in Notfällen wie der Übernahme Ihres Administratorkontos darauf zugreifen müssen.

Stellen Sie sicher, dass Sie Zugriff auf Ihr E-Mail-Postfach für Root-Benutzer haben, damit Sie ein verlorenes oder vergessenes Root-Benutzer-Passwort zurücksetzen können.
Wenn MFA Ihr AWS-Konto Root-Benutzer verloren geht, beschädigt ist oder nicht funktioniert, können Sie sich mit einem anderen MFA registrierten Root-Benutzer anmelden. Wenn Sie den Zugriff auf all Ihre Konten verloren habenMFAs, benötigen Sie sowohl die Telefonnummer als auch die E-Mail-Adresse, mit der Sie Ihr Konto registriert haben, damit Sie auf dem neuesten Stand sind und Sie Ihr Konto wiederherstellen könnenMFA. Einzelheiten finden Sie unter Wiederherstellen eines MFA Root-Benutzergeräts.
Wenn Sie Ihr Root-Benutzerpasswort nicht speichern möchtenMFA, kann die in Ihrem Konto registrierte Telefonnummer als alternative Methode zur Wiederherstellung der Root-Benutzeranmeldeinformationen verwendet werden. Stellen Sie sicher, dass Sie Zugriff auf die Kontakttelefonnummer haben, halten Sie die Telefonnummer auf dem neuesten Stand und schränken Sie ein, wer Zugriff auf die Verwaltung der Telefonnummer hat.

Niemand sollte Zugriff sowohl auf den E-Mail-Posteingang sowie auf die Telefonnummer haben, da es sich bei beiden um Bestätigungskanäle handelt, mit denen Sie Ihr Root-Benutzer-Passwort wiederherstellen können. Es ist wichtig, dass zwei Personengruppen diese Kanäle verwalten. Eine Gruppe sollte Zugriff auf Ihre primäre E-Mail-Adresse haben und eine andere Gruppe sollte Zugriff auf die primäre Telefonnummer haben, um den Zugriff auf Ihr Konto als Root-Benutzer wiederherzustellen.

Sichern von Root-Benutzer-Anmeldedaten für Ihr Unternehmenskonto

Wenn Sie bei Organizations zu einer Strategie mit mehreren Konten übergehen, AWS-Konten hat jedes Ihrer eigenen Root-Benutzeranmeldedaten, die Sie sichern müssen. Das Konto, mit dem Sie Ihre Organisation erstellen, ist das Verwaltungskonto, und die übrigen Konten in Ihrer Organisation sind Mitgliedskonten.

Sichern von Root-Benutzer-Anmeldeinformationen für Mitgliedskonten

Wenn Sie Organisationnen zur Verwaltung mehrerer Konten verwenden, gibt es zwei Strategien, die Sie anwenden können, um den Zugriff von Root-Benutzern in Ihren Organisationen zu sichern.

Zentralisieren Sie den Root-Zugriff und entfernen Sie Root-Benutzeranmeldeinformationen aus den Mitgliedskonten. Sie können das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate entfernen und die Multi-Faktor-Authentifizierung deaktivieren und löschen ()MFA. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen. Weitere Informationen finden Sie unter Verwalten Sie den Root-Zugriff für Mitgliedskonten zentral.
Sichern Sie die Root-Benutzeranmeldeinformationen Ihrer Organisationskonten mitMFA.

Einzelheiten finden Sie unter Zugreifen auf Mitgliedskonten in Ihrer Organisation im Organisationen-Benutzerhandbuch.

Richten Sie mithilfe einer Dienstkontrollrichtlinie präventive Sicherheitskontrollen in Organizations ein () SCP

Wenn für die Mitgliedskonten in Ihrer Organisation Root-Benutzeranmeldedaten aktiviert sind, können Sie einen Root-Benutzer beantragen, SCP um den Zugriff auf das Mitgliedskonto einzuschränken. Das Verweigern aller Root-Benutzeraktionen in Ihren Mitgliedskonten, mit Ausnahme bestimmter Root-Aktionen, trägt dazu bei, unbefugten Zugriff zu verhindern. Einzelheiten finden Sie unter Verwenden von, SCP um einzuschränken, was der Root-Benutzer in Ihren Mitgliedskonten tun kann.

Überwachung von Zugang und Nutzung

Wir empfehlen Ihnen, Ihre derzeitigen Nachverfolgungsmechanismen zu verwenden, um die Anmeldung und Nutzung von Anmeldeinformationen von Root-Benutzern zu überwachen, zu warnen und zu melden, einschließlich Warnungen, die die Anmeldung und Nutzung von Root-Benutzern ankündigen. Die folgenden Services können dazu beitragen, sicherzustellen, dass die Nutzung der Anmeldeinformationen des Root-Benutzers nachverfolgt wird, und Sicherheitsprüfungen durchzuführen, die dazu beitragen können, eine unbefugte Nutzung zu verhindern.

Anmerkung

CloudTrail protokolliert verschiedene Anmeldeereignisse für Root-Benutzer- und privilegierte Root-Benutzersitzungen. Diese privilegierten Sitzungen ermöglichen die Ausführung von Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind, in Mitgliedskonten in Ihrer Organisation. Sie können das Anmeldeereignis verwenden, um die Aktionen zu identifizieren, die vom Verwaltungskonto oder einem delegierten Administrator mithilfe von. sts:AssumeRoot Weitere Informationen finden Sie unter Verfolgen Sie privilegierte Aufgaben in CloudTrail.

Wenn Sie über die Anmeldeaktivitäten von Root-Benutzern in Ihrem Konto informiert werden möchten, können Sie Amazon nutzen, um eine Ereignisregel CloudWatch zu erstellen, die erkennt, wenn Root-Benutzeranmeldedaten verwendet werden, und eine Benachrichtigung an Ihren Sicherheitsadministrator auslöst. Einzelheiten finden Sie unter AWS-Konto Root-Benutzeraktivitäten überwachen und benachrichtigen.
Wenn Sie Benachrichtigungen einrichten möchten, die Sie über genehmigte Root-Benutzeraktionen informieren, können Sie Amazon EventBridge zusammen mit Amazon nutzen, um eine EventBridge Regel SNS zu schreiben, um die Nutzung von Root-Benutzern für die jeweilige Aktion zu verfolgen und Sie über ein SNS Amazon-Thema zu benachrichtigen. Ein Beispiel finden Sie unter Senden einer Benachrichtigung, wenn ein Amazon-S3-Objekt erstellt wird.
Wenn Sie den Dienst zur Bedrohungserkennung GuardDuty bereits verwenden, können Sie dessen Funktion erweitern, sodass Sie benachrichtigt werden, wenn Root-Benutzeranmeldedaten in Ihrem Konto verwendet werden.

Die Warnmeldungen sollten unter anderem die E-Mail-Adresse des Root-Benutzers enthalten. Halten Sie Verfahren für die Reaktion auf Warnungen bereit, damit Mitarbeiter, die eine Warnung zum Root-Benutzerzugriff erhalten, verstehen, wie sie überprüfen können, ob Root-Benutzerzugriff erwartet wird, und wie sie eskalieren können, wenn sie glauben, dass ein Sicherheitsvorfall vorliegt. Ein Beispiel für die Konfiguration von Warnmeldungen finden Sie unter AWS-Konto Root-Benutzeraktivitäten überwachen und benachrichtigen.

Bewerten Sie die MFA Einhaltung der Vorschriften für Root-

Die folgenden Dienste können Ihnen dabei helfen, die MFA Einhaltung von Root-Benutzeranmeldedaten zu bewerten.

MFAWenn Sie die bewährte Methode zum Entfernen von Root-Benutzeranmeldedaten befolgen, werden verwandte Regeln als nicht konform zurückgegeben.

Wir empfehlen, Root-Benutzeranmeldedaten aus Mitgliedskonten in Ihrer Organisation zu entfernen, um eine unbefugte Nutzung zu verhindern. Nachdem Sie die Root-Benutzeranmeldedaten entfernt haben, werden diese Mitgliedskonten unter anderem MFA als nicht richtlinientreu eingestuft.

AWS Config enthält Regeln zur Überwachung der Einhaltung der bewährten Methoden für Root-Benutzer. Mithilfe AWS Config verwalteter Regeln können Sie Root-Benutzeranmeldedaten durchsetzen MFA. AWS Config kann auch Zugriffsschlüssel für den Root-Benutzer identifizieren.
Security Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und hilft Ihnen dabei, Ihre AWS Umgebung anhand von Industriestandards und Best Practices zu bewerten, z. B. wenn MFA Sie nur Root-Benutzer verwenden und keine Root-Benutzerzugriffsschlüssel haben. Einzelheiten zu den verfügbaren Regeln finden Sie unter AWS Identity and Access Management -Steuerelemente im Security-Hub-Benutzerhandbuch.
Trusted Advisor bietet eine Sicherheitsüberprüfung, sodass Sie wissen, ob sie für das Root-Benutzerkonto MFA nicht aktiviert ist. Weitere Informationen finden Sie MFAunter Root-Konto im AWS Support-Benutzerhandbuch.

Wenn Sie ein Sicherheitsproblem in Ihrem Konto melden möchten, lesen Sie Verdächtige E-Mails melden oder Meldung von Schwachstellen. Alternativ können Sie sich an AWS wenden, um Unterstützung und zusätzliche Hilfestellung zu erhalten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bewährte Methoden für die Gewährleistung der Sicherheit

Anwendungsfälle für Unternehmen