โดยปกติแล้ว เรามีกฎให้บุคคล 3 คนมีสิทธิ์เข้าถึง superuser ด้วย 3 username/passwords และถ้าใครเคยถูก offboarded (ลาออกหรือถูกไล่ออก) พักร้อน ป่วย ต่างเขตเวลา มีคนเข้าถึงได้ และเราไม่เคย พิการ เมื่อดูที่ AWS ฉันไม่เข้าใจว่าทำไมดูเหมือนว่ามี 'บัญชีรูท' และรหัสผ่าน AWS เพียงอันเดียว ดูเหมือนว่าผู้ที่มีกุญแจปราสาทจะไม่อยู่ในสถานะที่จะถูกไล่ออกในกรณีนี้ หรือเขาจะรู้ทันทีที่คุณขอบัญชีเดียวจากเขา (เมื่อเชื่อมโยงกับ MFA โดยเฉพาะ)
ฉันพลาดอะไรไปรึเปล่า? มี 'ผู้ใช้ระดับสูง' ที่เราสามารถเพิ่มได้อีก 2 คนที่มีอำนาจในการลบบัญชีรูทหรือไม่?
ใน devops สิ่งนี้ทำมาหลายปีแล้วใน linux, windows และอื่น ๆ
โอ้ เพื่อให้เป็นไปตามข้อกำหนด บัญชีทั้งหมดจะต้องเปิดใช้งาน MFA ด้วยเช่นกัน ซึ่งหมายความว่าเราไม่สามารถแชร์บัญชีรูทนี้ได้เช่นกัน คนอื่นจัดการเรื่องนี้อย่างไร คน 3 คนสามารถสนับสนุนบริษัทในขณะที่คนอื่นป่วย?
โอ้ จะเกิดอะไรขึ้นถ้าผู้ชายที่มีรหัสผ่านรูท/ล็อกอินเสียชีวิต บริษัทจะเจ๊งไหม?
ขอบใจ!
มีงานเพียงไม่กี่งานเท่านั้นที่ต้องใช้บัญชีรูทของ AWS หรือบัญชีการจัดการที่เทียบเท่าในองค์กร AWS
ดู:
มอบหมายบทบาทผู้ดูแลระบบเพื่อนของคุณและมอบหมายสิทธิ์ที่เกี่ยวข้องให้กับบุคคลที่ถูกต้องและการเข้าถึงรูทก็แทบจะไม่จำเป็นเลย จากนั้นอาจเป็นเรื่องยากโดยการออกแบบเพื่อให้เข้าถึงรูทได้ ตัวอย่างเช่น ต้องเดินทางไปที่สำนักงานเพื่อรับโทเค็น MFA จากบริษัทที่ปลอดภัย
ดูเหมือนว่าองค์กรของคุณมีขนาดใหญ่พอที่คุณควรเปลี่ยนไปใช้ AWS Organizations แล้ว: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html
จากนั้นทำตามคำแนะนำตัวอย่างใน:
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
