A company has many member accounts in an organization in AWS Organizations. The company is concerned about the potential for misuse of the AWS account root user credentials for member accounts in the organization. To address this potential misuse, the company wants to ensure that even if the account root user credentials are compromised the account is still protected.
Which solution will meet this requirement?
A. Block service access by using SCPs for the root user
B. Remove the password for the root user
C. Delete access keys for the root user
D. Create an Amazon EventBridge rule to detect any AWS account root user API events
A
一家公司在AWS Organizations组织中拥有多个成员账户。公司担心组织内成员账户的AWS账户根用户凭证可能被滥用。为解决此问题,公司希望确保即使根用户凭证被泄露,账户仍受到保护。
如何防止成员账户根用户凭证被滥用导致账户权限失控?
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 正确。使用SCP,阻止子账号的根用户服务访问。
B. 不正确。移除根用户的密码。移除密码后,根用户无法通过控制台登录,仅保留访问密钥(若存在),但需配合删除访问密钥实现完全防护。
C. 不正确。删除根用户的访问密钥。删除访问密钥后,根用户无法通过API或CLI操作,但需配合移除密码实现完全防护。单独使用此选项时,若密码未移除,仍存在控制台登录风险。
D. 不正确。创建Amazon EventBridge规则以检测任何AWS账户根用户API事件。仅能监控事件,无法阻止滥用行为,不符合“账户仍受保护”的要求。
根用户权限控制:
根用户默认拥有账户最高权限,但可通过禁用密码登录或删除访问密钥限制其使用场景。
服务控制策略(SCP):
SCP可限制组织内账户的IAM权限,但无法直接阻止根用户通过控制台或CLI执行操作(因根用户不受SCP约束)。
事件检测:
EventBridge可监控根用户API调用事件,但属于事后检测,无法主动阻止滥用行为。
凭证管理最佳实践:
删除根用户访问密钥、禁用密码登录是AWS推荐的安全措施,可彻底消除根用户凭证泄露风险。