Vorrei attivare l'autenticazione a più fattori nell'account root AWS della mia organizzazione, tuttavia non sono sicuro delle migliori pratiche su come farlo.
Abbiamo già account IAM separati per ogni persona che ha bisogno di accesso; la maggior parte di tutti gli account è estremamente limitata nelle autorizzazioni, ma molti di noi hanno accesso completo all'amministratore tramite IAM. Richiedere l'MFA per l'account IAM di ogni utente è facile poiché tutti possono configurare Google Authenticator o Authy sui propri dispositivi personali. Tuttavia, fare la stessa cosa con l'account root sembra poco saggio, poiché limiterebbe l'accesso a una singola persona (che non è molto a prova di bus). Un paio di idee che ho avuto sono:
- Abilita MFA e consenti a 2-3 amministratori di eseguire la scansione del codice QR (per l'account di root) contemporaneamente.
- Crea un account Authy condiviso contenente per questo scopo e registra la password da qualche parte sicura che un amministratore può accedervi se necessario.
C'è una buona pratica per fare questa o un'altra opzione che mi manca?