루트 사용자 작업 필요

4472 단어 awssecurity
AWS의 모범 사례는 루트 사용자를 사용하지 않는 것입니다.그러나 일부 임무는 근거를 필요로 한다.

🚨 업데이트 - 다음 작업에는 루트 디렉토리가 더 이상 필요하지 않습니다.


CloudFront 키 쌍을 만듭니다.

CloudFront 키 쌍 생성 방법
AWS 명령줄 인터페이스:
aws cloudfront create-public-key \
    --public-key-config file://pub-key-config.json
AWS SDK for Go
AWS SDK for Python
모두가 알다시피 루트 사용자를 사용하지 않는 것이 AWS의 최선의 실천이다.그러나 일부 임무는 근거를 필요로 한다.
그런데 왜죠?루트 사용자는 요금 계산 정보를 포함하여 모든 AWS 서비스의 모든 자원에 접근할 수 있습니다.또한 AWS 계정 루트 사용자의 키 액세스 권한을 줄일 수 없습니다.또한 규정 준수의 측면에서 볼 때 루트에 다중 요소 하드웨어 MFA 장치를 활성화해야 한다.
그러니 기억하세요:
🚨 AWS 루트 사용자의 액세스 키가 있는 경우 액세스 키를 삭제합니다.
🚨 하드웨어 MFA 장치를 사용하여 루트 사용자에게 MFA를 활성화하고 이를 금고에 잠급니다.
🚨 자신에게 관리 권한이 있는 IAM 사용자를 만들고 루트 사용자를 다음 작업에만 사용합니다.

루트 사용자 작업 필요


1. 계정 설정 변경(계정 이름, 루트 사용자 비밀번호, 이메일 주소 및 MFA 사용)


계정 이름, Root 사용자 암호 및 Root 사용자 이메일 주소를 변경하는 방법
  • 루트 자격 증명을 사용하여 AWS 계정에 로그인합니다.
  • 열기Billing and Cost Management console.
  • 내비게이션 표시줄에서 계정을 선택하고 내 계정을 선택하십시오.
  • 계정 설정 페이지에서 편집을 선택합니다.
  • 업데이트할 필드 옆에서 편집을 선택합니다.
  • 변경 사항을 입력하고 저장 을 선택합니다.
  • 완료를 선택합니다.
  • 루트 사용자를 위한 MFA 활성화 방법
  • 루트 자격 증명을 사용하여 AWS 계정에 로그인합니다.
  • 열기Billing and Cost Management console.
  • 네비게이션 표시줄에서 계정을 선택하고 내 안전 증명서를 선택하십시오.
  • 다중 요소 인증 확장(MFA)
  • 클릭하여 MFA 활성화
  • 활성화 MFA 상자의 지침에 따라 작동합니다.
  • 2. AWS 지원 계획 변경


    AWS 지원 계획 변경 방법
  • 루트 자격 증명을 사용하여 AWS 계정에 로그인합니다.
  • 열기Billing and Cost Management console.
  • 내비게이션 표시줄에서 계정을 선택하고 내 계정을 선택하십시오.
  • 관리 AWS 지원 계획 섹션으로 스크롤합니다.
  • AWS 지원 계획 관리 클릭 버튼을 클릭합니다.
  • 새 AWS 지원 계획을 선택하고 계획 변경 을 클릭합니다.
  • 3. AWS 계정을 닫습니다.


    AWS 계정을 닫는 방법
  • 루트 자격 증명을 사용하여 AWS 계정에 로그인합니다.
  • 열기Billing and Cost Management console.
  • 내비게이션 표시줄에서 계정을 선택하고 내 계정을 선택하십시오.
  • 페이지 끝까지 스크롤하여 "계정 닫기"부분에 들어갑니다.
  • 확인란을 선택하여 약관을 수락하고 계정 닫기를 선택합니다.
  • 확인란에서 계정 닫기를 선택합니다.
  • 4. Amazon EC2에서 역방향 DNS를 요청합니다.


    Amazon EC2에 대해 역방향 DNS를 요청하는 방법
  • 루트 자격 증명을 사용하여 AWS 계정에 로그인합니다.
  • 양식을 작성합니다.
  • 아마존 EC2가 요청한 역방향 DNS 5. EC2 인스턴스에서 포트 25 전자 메일 제한을 삭제해 달라고 요청합니다.


    EC2 인스턴스에서 포트 25 전자 메일 제한을 제거하는 방법
  • 루트 자격 증명을 사용하여 AWS 계정에 로그인합니다.
  • 양식을 작성합니다.
  • 6. Amazon S3 bucket을 구성하여 MFA(multi-factor authentication) 삭제를 활성화합니다.


    S3 스토리지 통에 MFA 제거 사용 방법
    유감스럽게도 콘솔을 통한 MFA 삭제는 지원되지 않습니다.다음 명령을 사용하여 bucket에 MFA delete를 활성화해야 합니다.
    aws s3api put-bucket-versioning --bucket bucketname --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "your-mfa-serial-number mfa-code"
    

    이메일 전송 제한 삭제 요청 7. 잘못된 VPC ID 또는 VPC 노드 ID를 포함하는 Amazon S3 bucket 정책을 편집하거나 삭제합니다.


    잘못된 VPC ID 또는 VPC 노드 ID를 포함하는 Amazon S3 bucket 정책을 편집하거나 삭제하는 방법
  • 루트 자격 증명을 사용하여 AWS 계정에 로그인합니다.
  • 열기 .
  • 버킷 정책을 편집하거나 삭제할 버킷을 선택하십시오.
  • Permissons 탭을 선택하고 Bucket Policy를 선택합니다.
  • bucket 정책을 편집하고 Save(저장) 를 클릭하거나 Delete(삭제) 를 클릭하여 bucket 정책을 삭제합니다.
  • 8. GovCloud(미국)를 등록합니다.


    GovCloud에 로그인하는 방법
  • 루트 자격 증명을 사용하여 AWS 계정에 로그인합니다.
  • 열기Amazon S3 Console.
  • 내비게이션 표시줄에서 계정을 선택하고 내 계정을 선택하십시오.
  • GovCloud(미국) 섹션으로 스크롤합니다.
  • AWS GovCloud(미국) 등록을 클릭합니다.
  • 좋은 웹페이지 즐겨찾기