イントロ
ルートユーザー・MFA・認証情報の保護
最初の強いIDを、普段使いしない
AWSアカウントのルートユーザーは非常に強い権限を持ちます。普段の作業には別のIDやロールを使い、MFAで認証を強めることが基本です。
1 / 9 ブロック11%
イントロ
上下にスクロールするかキーボードの上下キーを使うと、次の学習カードへ進めます。
定義
MFAと認証情報保護
- 教科書では
- パスワードだけに頼らず追加要素で本人確認を強め、長期認証情報の露出を減らすセキュリティ対策。
- 言いかえると
- ルートユーザーは緊急用の鍵に近い存在です。日常作業では使わず、MFAで守り、アプリや人には必要な範囲の一時的な認証情報を使います。
要点
守るべき認証情報
強いIDほど、使う回数と置き場所を減らす。 問題文では、強すぎるID、長く残る鍵、MFAなしのサインインはリスクとして読む。 よくある誤解: 最初に作ったルートユーザーを普段の管理者IDとして使えばよいと思う。
- 1
ルートユーザーは日常作業に使わない
- 2
MFAでサインインを強くする
- 3
長期アクセスキーは漏えい時の影響が大きい
- 4
人とワークロードは一時認証情報を優先する
例
- 場面
- 学習用AWSアカウントで毎日コンソールを触る。
- 順に考えると
- 毎回ルートユーザーで入るのではなく、学習用のユーザーやIAM Identity Centerのアクセスを用意します。ルートにはMFAを設定し、必要な場面だけ使います。 判断軸は、強すぎるID、長く残る鍵、MFAなしのサインインはリスクとして読む。
- ここが結論
- 日常作業と緊急用の強いIDを分けると、事故の影響を小さくできます。 迷ったら、ルートユーザーとMFAを分けます。
注意
アクセスキーを置きっぱなしにしない
確認
確認テスト
Q1
AWSアカウントのルートユーザーについて、最も適切な扱いはどれですか。
まとめ
まとめ
- 1
ルートユーザーは普段使いしない
- 2
MFAでサインインを強化する
- 3
長期のアクセスキーは慎重に扱う
- 4
一時認証情報を優先して考える
次へ