Sécuriser le root account

Sécuriser le root account

Comme je vous l'ai dit précédemment, le root account est très sensible. C'est pourquoi nous allons tout d'abord le sécuriser.

Pour ce faire, nous allons tout d'abord nous connecter à la console avec ledit compte.

Rendez-vous sur la page d'accueil d'AWS :

Services et produits de cloud Amazon | AWS
Inscrivez-vous gratuitement aux services Amazon AWS de cloud computing fiables, évolutifs et économiques et profitez de la puissance de calcul Amazon ainsi que la fléxibilité du paiement à l’utilisation.

Passez ensuite la souris sur "Mon compte" en haut à droite, puis cliquez sur AWS Management Console

Ensuite, dans la fenêtre de connexion, laissez sélectionné "Utilisateur racine", puis entrez l'adresse mail qui vous a servi à créer le compte.

Entrez votre mot de passe sur la page suivante.

C'est bon, vous êtes connecté.

Dans mes tutoriels, la console sera utilisée en anglais, pourquoi ?

  • J'utilise AWS depuis plusieurs années, et j'ai commencé avant que la console en français ne soit disponible, j'ai donc plus de repère en anglais
  • Les meilleures informations que vous aurez de la communauté seront très souvent en anglais
  • Les messages d'erreurs d'Amazon sont en anglais, il est donc plus simple de les appréhender quand on utilise soit même la console en anglais
  • Il y a parfois des traductions... originales en français

Cela n'engage que moi, et il est complètement possible de suivre ce tutoriel en utilisant la console en français.

Choisir un MFA

Nous allons donc de suite ajouter un MFA (Multi Factor Authentication) à notre compte AWS. Cela permettra, en cas de compromission du mot de passe de renforcer la sécurité du compte, car il faudra obtenir le mot de passe + le MFA.


Note importante sur le MFA

Un MFA ne dispense pas de la mise en place de sécurité de base sur votre compte, il reste toujours conseillé d'utiliser un mot de passe unique pour chaque application, et de les sécuriser. De plus, sécuriser le poste sur lequel vous utilisez votre compte reste indispensable.

Le MFA permet simplement de renforcer la sécurité du compte, mais ce dernier est toujours potentiellement piratable, par exemple avec une attaque de type man in the middle.


Pour ajouter un MFA, nous allons donc cliquer sur le nom de votre compte en haut à droite, puis "My Security Credentials"

Ensuite, cliquez sur "Multi-factor authentication (MFA)" puis "Activate MFA".

Il existe plusieurs types de MFA que vous pouvez utiliser :

Clé de sécurité physique U2F

Vous pouvez vous connecter à Amazon en utilisant une clé physique, comme par exemple une YubiKey. La clé vous sera demandé à chaque connexion à votre compte.

MFA virtuel

Vous pouvez aussi utiliser un MFA Virtual, comme Google Authenticator. C'est cette solution que j'utiliserais. Personnellement j'utilise l'appli "Authy", qui me permet d'avoir mon MFA sur plusieurs périphériques en même temps. La liste des applications recommandées par AWS est disponible sur leur site.

MFA Physique

Il est aussi possible d'acheter un MFA Physique, sur le site amazon.com, ce dernier fonctionnera comme le MFA virtuel, en vous générant un code temporaire.

Activer le MFA

Nous allons donc maintenant activer le MFA que nous avons choisi.

Je choisis donc "Virtual MFA Device", puis je clique sur "Continue"

Ensuite, je clique pour afficher le QR Code du MFA, puis je le scanne avec mon téléphone.

Enfin, je tape le MFA affiché sur mon téléphone, pour 2 codes différents d'affillé, cela permet de vérifier la synchonisation de ce dernier.

En cliquant sur "Assign MFA", ce dernier est maintenant actif sur mon root account.

Dans notre prochaine étape, nous allons voir comment créer les comptes que nous allons utiliser par la suite.

Page suivante : Chapitre 2 - IAM - IAM, de quoi parle-t-on?