AWS Root Passwort: Warum du bald handeln musst.

Inhaltsverzeichnis

Der AWS Root User hat so viele Berechtigungen, dass man sein Passwort am besten in einem Safe verschließt und für die tägliche Arbeit nicht verwendet. Doch genügt das Wegschließen des Passworts? Kannst du nicht noch mehr für die Sicherheit des Passworts und damit getätigte Änderungen tun?

Dies dachte sich auch einer meiner Kunden und stellte mir die folgende Frage.

Hi Hendric,

welches Vorgehen würdest du empfehlen, um den Root-User des Root-Accounts zu sichern? Wir möchten erreichen, dass wir uns nur im 4-Augen Prinzip mit dem User einloggen können.

1. Person A hat das Kennwort – Person B das MFA

2. Das Kennwort wird in zwei Teile aufgeteilt und eine Hälfte Person A, die andere Hälfte Person B geben

Viele Grüße

Diese Frage ist relativ kurz, aber hat extrem große Auswirkungen und es stellen sich eine ganze Reihe neuer Fragen:

  • Gibt es noch eine dritte Variante?
  • Was ist, wenn eine der beiden Personen einen Unfall hat oder verstirbt?
  • Was ist, wenn das MFA Gerät verschwindet?
  • Ist einer der beiden Ansätze sicherer?

Das Gute vorweg: Die meisten dieser Fragen sind dokumentiert und lassen sich schnell beantworten.

Meiner Meinung nach gibt es keine sinnvolle dritte Variante, die das 4-Augen Prinzip umsetzt.

Wenn ein AWS Kunde ein Passwort vergisst, kann dieses mithilfe der Root User E-Mail Adresse wiederhergestellt werden. Der Prozess ist sehr simpel und in der AWS Dokumentation beschrieben.

Beim Verlust des Root User MFA Gerätes gibt es verschiedene Varianten zur Wiederherstellung:

  1. Mit einem zweiten MFA Gerät, sofern dies konfiguriert ist
  2. Mithilfe der E-Mail Adresse und der Telefonnummer des „Primary Contacts“. Dieser kann von einem IAM User mit Administratorrechten gesetzt werden und sollte aktuell gehalten werden.

Auch dieser Prozess ist natürlich in der AWS Dokumentation aufgeführt.

Ist denn nun einer der beiden Ansätze sicherer?

Meiner Meinung nach ja! Die erste Variante ist durch die Multi-Faktor-Authentifizierung sicherer. Variante 2 könnte durch einen Angriff auf das Passwort geknackt werden.

Weiterhin stellt sich diese Frage ab Mitte 2024 nicht mehr, denn in AWS wird es verpflichtend den Root User mit einem MFA Token auszustatten.

Daher empfehle ich dir zeitnah MFA für deinen Root User zu konfigurieren, sofern dies noch nicht geschehen ist.

Egal wie ausgereift deine Cloud-Infrastruktur und dein Wissen ist, so können wir dich unterstützen:

Du bist gerade noch am Anfang deiner Cloud-Reise und möchtest dich erst einmal informieren? Dann schau unbedingt in unserem Wissenszentrum vorbei!

Du möchtest wissen, wie wir dich konkret weiterbringen können? Dann empfehlen ich dir einen Blick auf unsere Dienstleistungen!

Du möchtest mit uns Kontakt aufnehmen und unsere Einschätzung zu deiner Cloud-Infrastruktur haben? Verlier keine Zeit und buche jetzt deinen Termin für ein Erstgespräch – kostenlos und ohne Kleingedrucktes.

Picture of Hendric Jabs
Hendric Jabs
Ich bin Wirtschaftsinformatiker (M. Sc.) und AWS Cloud Solutions Architect. Seit 2014 beschäftige ich mich leidenschaftlich mit Amazon Web Services und habe bereits seit 2015 einer Vielzahl von Kunden zu einer erfolgreichen Cloud Nutzung verholfen. Im Jahr 2021 habe ich für das Digital Career Institute den ersten AWS re/Start Kurs in Deutschland als leitender Dozent durchgeführt.

Verwandte Beiträge

Was ist die 7R-Klassifizierung?

Wenn man sich mit dem Thema Cloud-Migration beschäftigt, stößt man unweigerlich auf die sogenannten „7R’s“. Dieser Beitrag lüftet das Geheimnis hinter dieser hilfreichen Klassifizierung.

Weiterlesen
Hendric Jabs 29. Oktober 2025