𝓓𝓻-𝓛𝓲𝓷𝓾𝔁𝓮𝓻 𝓑𝓵𝓸𝓰

04_AWS IAM: Securing the AWS Account Root User

Aung Aung Myo Myint's photo
Aung Aung Myo Myint
·

3 min read

သင့် AWS account root user ကို ပိုမိုလုံခြုံစေဖို့ အသုံးပြုနိုင်တဲ့ နည်းလမ်းအချို့ကို ပြောပြချင်ပါတယ်။

AWS account ကို ပထမဆုံး ဖန်တီးတဲ့အခါမှာ၊ root user credentials က e-mail address နဲ့ password တစ်ခုသာဖြစ်ပါတယ်၊ အလွန်အမင်း အာဏာရှိတဲ့ account အတွက် အလုံခြုံဆုံး authentication မဟုတ်ပါဘူး။ ဒါကြောင့် ဒီ account ကို ပိုမိုလုံခြုံစေဖို့ ပထမဆုံး လုပ်ဆောင်ရမယ့် နည်းလမ်းတစ်ခုက ၂ လွှာ authentication ကို အသုံးပြုခြင်းဖြစ်ပါတယ်။

Multi-factor authentication (MFA) က root user ကို password ထည့်ပြီးနောက်မှာ ဒုတိယ authentication လုပ်ရဖို့လိုအပ်စေမှာဖြစ်ပြီး၊ multi-factor layer of security ကို ပေးစွမ်းနိုင်ပါတယ်။ အပို authentication က random six-digit number တစ်ခုကို MFA device မှ ထုတ်ပေးပြီး၊ အချိန်တိုအတွင်းမှာ ပြန်လည်ပြောင်းလဲသွားပါတယ်။ ဒီနံပါတ်ကို prompt ဖြစ်တဲ့အခါမှာ ထည့်သွင်းရမယ်။

Root user က MFA ကို အသုံးပြုဖို့အတွက်၊ IAM မှာ configure လုပ်ပြီး user နဲ့ချိတ်ဆက်ရပါမယ်။ MFA အကြောင်းပိုမိုသိရှိလိုပါက၊ ကျွန်ုပ်တို့ရဲ့ ရှိပြီးသား သင်တန်းကို ကြည့်ပါ:

သင် MFA device ကို ပျောက်ဆုံးသွားပါက၊ သို့မဟုတ် ခိုးယူခံရပါက၊ root user အနေနဲ့ account ကို ဘယ်လို access လုပ်မလဲဆိုတာ အံ့သြမိန်ဖြစ်နိုင်ပါတယ်။ ကံကောင်းစွာ၊ သင့် AWS account ရဲ့ contact details မှာ ဖုန်းနံပါတ်မှန်ကန်ပါက၊ အခြား authentication နည်းလမ်းကို အသုံးပြုနိုင်ပါတယ်။ ဒီပြဿနာကို ဖြေရှင်းဖို့ ကျွန်ုပ်ရေးသားထားတဲ့ blog post ကို ကြည့်ပါ။

Root account ကို လုံခြုံစေဖို့ နောက်ထပ် လုပ်ဆောင်ရမယ့်အရာက account ရဲ့ access keys များကို ဖျက်ပစ်ပါ၊ ရှိပါက။ ဒီ access keys များကို programmatic authentication လိုအပ်တဲ့ IAM user များအတွက် ဖန်တီးနိုင်ပါတယ်။ ဒီ access keys များက Access Key ID နဲ့ Secret Access Key ဆိုတဲ့ အစိတ်အပိုင်း ၂ ခုဖြင့် ဖွဲ့စည်းထားပါတယ်။ Access Key ID က 20 random uppercase alphanumeric characters ဖြင့် ဖွဲ့စည်းထားပြီး၊ Secret Access Key က 40 random upper နဲ့ lowercase alphanumeric နဲ့ non-alphanumeric characters ဖြင့် ဖွဲ့စည်းထားပါတယ်။

ဒီ keys များက ဘယ်လိုပဲ compromised ဖြစ်လာပါစေ၊ သင့် account အားလုံးကို အန္တရာယ်ရှိစေမှာဖြစ်ပါတယ်။ အဖြစ်အပျက်ရလဒ်အနေနဲ့၊ AWS က သင့်မှာ specific business reason မရှိပါက access keys များကို ဖျက်ပစ်ဖို့ အကြံပြုပါတယ်။

Root account ကို ကာကွယ်ဖို့အတွက် နောက်ထပ် လုပ်ဆောင်သင့်တဲ့ အကောင်းဆုံး နည်းလမ်းမှာ password ကို ပုံမှန်ပြောင်းလဲပါ။ ဒီဟာ account ကို compromised ဖြစ်ခြင်းနဲ့ password ယိုစိမ့်ခြင်းအန္တရာယ်ကို လျော့နည်းစေမှာဖြစ်ပြီး၊ employee တစ်ယောက်က သင့်ကုမ္ပဏီက ထွက်သွားတဲ့အခါမှာလည်း password ကို ပြောင်းလဲသင့်ပါတယ်။

သင့် password အသစ်အတွက် အားကောင်းတဲ့ criteria တစ်ခုကိုလည်း အသုံးပြုပါ။ AWS IAM ကို သိရှိထားပါက၊ IAM user များအတွက် ရရှိနိုင်တဲ့ Password Policy အကြောင်း သိရှိပြီးဖြစ်နိုင်ပါတယ်၊ သို့သော် AWS account root user ကို ဒီ password policy မဟုတ်ပါဘူး။

အဖြစ်အပျက်ရလဒ်အနေနဲ့၊ root user password ကို manually အားကောင်းစေဖို့လိုအပ်ပြီး၊ AWS က uppercase နဲ့ lowercase characters နှစ်မျိုးစလုံးကို အသုံးပြုဖို့ အကြံပြုပါတယ်၊ ဂဏန်းများနဲ့ non-alphanumeric characters ပါဝင်စေပြီး၊ characters များစွာ အသုံးပြုဖို့လိုအပ်ပါတယ်၊ bare minimum က 8 ဖြစ်သင့်ပါတယ်။

Password ကို အားကောင်းစေဖို့ နည်းလမ်းများမှာ …

  • သင်ပိုင်ဆိုင်ထားတဲ့ AWS account အားလုံးအတွက် တူညီတဲ့ password ကို အသုံးမပြုပါနှင့်၊ သင်စီမံနေတဲ့ အခြား systems များအတွက်လည်း မတူပါနှင့်။ Passwords များကို unique ဖြစ်စေပြီး၊ မတူညီပါနှင့်။

  • သင့်ကိုယ်ရေးကိုယ်တာ အချက်အလက်များ၊ ဥပမာ သင့်နာမည်၊ e-mail address, location စသဖြင့် မအသုံးပြုပါနှင့်၊ အဲဒါက anonymous user တစ်ယောက်အတွက် သင့် account ကို တိုက်ခိုက်ဖို့ လွယ်ကူစေပါတယ်။

  • နေ့စဉ်အသုံးပြုတဲ့ စကားလုံးများကို မသုံးပါနှင့်၊ symbols, numbers, uppercase နဲ့ lowercase letters တွေရောထားတဲ့ characters string တစ်ခုကို အသုံးပြုပါ၊ အဲဒါက အားကောင်းတဲ့ password ဖြစ်စေပါတယ်။

Root account ကို တိုက်ရိုက်ပတ်သက်မထားပေမယ့်၊ သင့် account အတွက် security challenge questions ၃ ခုကို ထည့်သွင်းခြင်းက AWS account ရဲ့ security posture ကို တိုးတက်စေမှာဖြစ်ပါတယ်။ ဒီ questions များကို AWS Support ကို ဆက်သွယ်ရမယ်ဆိုရင် သင့်ကိုယ်စားလှယ်အဖြစ် အသုံးပြုနိုင်ပါတယ်။

ဒီ questions များကို AWS Management console မှာ log in လုပ်ပြီး၊ အပေါ်ယံညာဘက်ထောင့်မှာ သင့် account name ကို ရွေးပြီး၊ ‘Account’ ကို ရွေးပါ။ ဒီနေရာကနေ Security challenge questions ကို scroll down လုပ်ပြီး Edit ကို ရွေးပါ။

Question များက:

  • သင့်ရဲ့ ပထမဆုံးမွေးမြူခဲ့တဲ့ အိမ်မွေးတိရစ္ဆာန်ရဲ့ နာမည်က ဘာလဲ?

  • သင့်ရဲ့ အကြိုက်ဆုံးဝါသနာက ဘာလဲ?

  • သင်တက်ခဲ့တဲ့ ပထမဆုံးကျောင်းရဲ့ နာမည်က ဘာလဲ?

သင့် AWS account အတွင်းရှိ အရေးကြီးဆုံးနဲ့ အာဏာအရှိဆုံး user ဖြစ်တဲ့ root user ကို ကာကွယ်ဖို့ လုပ်ဆောင်သင့်တဲ့ အကောင်းဆုံး နည်းလမ်းအချို့ကို overview ပေးခဲ့ပါတယ်။ ဒီမှာပါဝင်တာတွေကတော့ …

  • root user အတွက် Multi-Factor Authentication ကို အသုံးပြုခြင်း

  • root user အတွက် Access Keys များကို ဖျက်ပစ်ခြင်း

  • root user အတွက် password ကို ပုံမှန်ပြောင်းလဲခြင်း

  • သင့် account အတွင်း security challenge questions များကို ထည့်သွင်းခြင်း

AWS