AWS Hesaplarında Multi Factor Authentication (MFA) Kullanımı
(MFA’in güncel arayüzüne uygun olarak 19.01.2023 tarihinde yazılmıştır.)
Bir AWS hesabını ilk defa oluşturduğumuzda bu AWS hesabına nasıl gireriz? Root user'la tabi ki.
Peki nedir bu root user? Bir Amazon Web Services (AWS) hesabını ilk oluşturduğunuzda, hesaptaki tüm AWS servislerine ve kaynaklarına tam erişimi olan tek bir kimlikle başlarsınız. Bu kimliğe AWS hesabının root user’ı denir. Hesabı oluşturmak için kullandığınız e-posta adresini ve şifreyi kullanmak suretiyle root user olarak oturum açabilirsiniz.
AWS root user (kök kullanıcı) hesabı, bir AWS hesabındaki en üst düzey yönetici kullanıcıdır ve hesap içindeki tüm kaynaklara tam erişime sahiptir. AWS hesabınızda oturum açmak için root user hesabını kullanmak birkaç nedenden dolayı tavsiye edilen/en iyi uygulama (best practice) değildir:
Güvenlik: AWS hesabınızda oturum açmak için root user hesabını kullanmak, güvenlik ihlali riskini artırır. Başka biri root user credential’larınızı (kimlik bilgilerinizi) bir şekilde temin eder veya ele geçirirse, tüm kaynaklarınıza tam erişime sahip olur ve potansiyel olarak önemli hasara neden olabilir.
Denetim: AWS hesabınızda oturum açmak için root user hesabını kullanırsanız, kaynaklarınızda kimin değişiklik yaptığını (AWS hesabını birden çok kişi kullanıyorsa, IAM userlar varsa) ve ne zaman değişiklik yaptığını takip etmek zorlaşabilir.
IAM: AWS Identity and Access Management (IAM), AWS hesabınızda birden fazla kullanıcı ve izin oluşturup yönetmenize olanak tanıyan güçlü bir servistir. Oturum açmak için root user hesabını kullanmayarak, kaynaklarınıza erişimi daha iyi kontrol edebilir ve uyumluluk gereksinimlerini karşılayabilirsiniz. Bunun için yetkilerini sizin belirleyeceğiniz IAM user’lar oluşturmanız yeterlidir.
En az ayrıcalığa sahip IAM user’lar (yetkileri sınırlı kullanıcılar) ve IAM rolleri oluşturmak ve bunları günlük kullanımınız için kullanmak her zaman best practice’tir (en iyi uygulamadır). Root user hesabını yalnızca acil durum amacıyla veya hesabın ilk kurulumu için kullanın.
Yönetici görevleriniz de dahil olmak üzere günlük görevleriniz için root user’ı kullanmamanızı tavsiye ederiz. Bir best practice (tavsiye edilen uygulama) olarak, root user credential’larınızı (kimlik bilgilerinizi (mail adresi ve şifre)) koruyun ve bunları günlük görevler için kullanmayın. Root user credential’ları yalnızca birkaç hesap ve servis yönetimi görevini gerçekleştirmek için kullanılır. Ancak biz bu yazımızda bir AWS hesabına, hesap açıldıktan sonra ilk defa girmeyi ve güvenli giriş kapsamında bir best practice (tavsiye edilen uygulama) olan Multi Factor Authentication (MFA) kullanımını göstereceğimiz için AWS hesabımıza root user credential’larını kullanarak gireceğiz.
AWS Management Console'a gidelim. Öncelikle konsola ‘root user’ olarak giriyoruz. Root user olarak giriş yaparken e-mail adresinizi ve şifrenizi girmeniz, AWS hesabınıza erişmek için yeterlidir.
AWS hesabımıza giriş yapalım. https://aws.amazon.com/tr/console/ adresi üzerinde ‘Konsolda Oturum Açın’ butonuna tıklayın.
Örneğimiz kapsamında ‘root user’ olarak giriş yapacağız. (Hali hazırda IAM user’a sahip olanlarınız IAM user olarak girebilirler.) AWS hesabımızı oluştururken kullandığımız ‘Root user email address’i ilgili kısma girin ve arından ‘Next’ butonuna tıklayın.
Ardından, ‘Password’ kısmına şifrenizi girin ve ‘Sign-in’ butonuna tıklayın.
Root hesap credential'ları ile giriş yapmak best-practice (tavsiye edilen uygulama) değildir. Root user için MFA zorunlu olmalı. MFA kullanımı AWS hesaplarımız için ekstra güvenlik sağlar.
MFA’in ne olduğunun anlaşılması açısından şöyle bir benzetme yapabiliriz:
AWS MFA (Çoklu Kimlik Doğrulama), bir kasanın kilidine benzer. Sadece sayısal bir kod ve fiziksel bir anahtarın doğru kombinasyonuyla açılabilecek bir kasa gibi, AWS MFA hesabınıza erişmek için iki farklı kimlik doğrulama yöntemi kullanmanız gerekir. Bu, değerli kaynaklarınızı koruyan ek bir güvenlik katmanı sağlar.
Başka bir benzetmede ise, AWS MFA’i bir mekanın önündeki güvenlik görevlisi olarak düşünün. Tıpkı bir güvenlik görevlisinin kimliğinizi doğrulamak için kimliğinizi kontrol etmesi ve parmak izlerinizi taraması gibi, AWS MFA da hesabınıza erişmeye çalışan kişinin siz olduğunuzu doğrulamak için parolanızı ve mobil cihazdan alınan benzersiz (unique) bir kodu kullanır.
Multi-factor authentication (Çok faktörlü kimlik doğrulama), AWS kaynaklarınızın korunmasına yardımcı olur. Bu yazımızda hep birlikte MFA olarak da bilinen AWS Multi-Factor Authentication'ı etkinleştireceğiz. MFA, hesabınızı yetkisiz erişime karşı koruyan bir güvenlik aracıdır. Çok faktörlü hesap için parola gerektirmenin ötesinde, kimliğinizi doğrulamak için başka bir yol da kurmak anlamına gelir. Merak etmeyin, AWS hesabımıza giriş metodumuz yine basit ve anlaşılır kalacak.
AWS Management Console’un sağ üst köşesinde, daha önce IAM user atamışsanız IAM user name’inizin bulunduğu veya IAM user name atamamışsanız Account-ID’nizin bulunduğu kısma tıklıyoruz.
AWS MFA'yı AWS Management Console'da etkinleştirmek için ‘Security Credentials’ butonuna tıklayın.
Ardından, kullanmak istediğiniz MFA Device’a ‘Specify MFA device name’ başlığı altındaki ‘Device name’ kısmında bir ad verin. Daha sonra kullanmak istediğiniz Multi-Factor cihazının türünü seçin. Bir donanım MFA cihazınız (security key veya hardware TOTP token) yoksa, başlamak için bir Virtual MFA Device kullanın. Bunun için ‘Select MFA Device’ başlığı altındaki ‘Authenticator app’ butonuna tıklayın ve ardından ‘Next’e basın.
Sanal bir MFA cihazı, telefonunuzda çalışan ‘Google Authenticator’ (Kimlik Doğrulayıcı) gibi bir uygulamadır. Google Authenticator Uygulamasını kullanıyorsanız, benzersiz (unique) kimlik doğrulama anahtarları oluşturmak için telefonunuzu kullanarak ekranda bir QR kodu tararsınız. Mobil cihazınıza Google Authenticator, Duo Mobile veya Authy uygulamalarından birini yükleyin. (Bu çalışmada Google Authenticator kullanılmıştır)
Google Authenticator uygulamasını açın ve ‘Başlayın’ butonuna tıklayın.
Önce, ‘Show QR code’ hyperlinkine tıklayın.
Ortaya çıkan QR kodu Google Authenticator uygulaması ile tarayın.
Ardından ardışık (consecutive) iki MFA kodunu yazın ve ‘Add MFA’ butonuna tıklayın. (Önemli Not: İlk MFA kodunu girince yeni bir MFA kodunun (ikinci MFA kodu) Google Authenticator uygulamasında belirmesini bekleyin. Bir MFA kodu 30 saniye geçerlidir.)
Aşağıda da görüldüğü üzere MFA cihazımızı doğru bir şekilde tayin ettik.
Bir dahaki sefere AWS Management Console’da oturum açmak istediğimizde, kullanıcı hesabımız ve şifremize ek, ikinci bir güvenlik katmanı olarak Google Authenticator uygulamasındaki MFA kodunu da konsola girmemiz gerekecek. Yani bir sonraki oturum açışınızda normal kimlik bilgilerinizin yanı sıra bir MFA şifresi kullanacaksınız. Her şey eskisi gibi çalışmaya devam edecek.
Şimdi bir kez de MFA kodumuzu kullanarak AWS Management Console’a giriş yapalım. Önce mevcut oturumdan çıkış yapıyorum.
Bunun için AWS Management Console’un sağ üst köşesinde, daha önce IAM user atamışsanız IAM user name’inizin bulunduğu veya IAM user name atamamışsanız Account-ID’nizin bulunduğu kısma tıklıyoruz.
Ardından ‘Sign out’ butonuna tıklıyoruz.
Şimdi, tekrar giriş yapalım (bu defa MFA kodu da kullanarak). https://aws.amazon.com/tr/console/ adresi üzerinde ‘Konsolda Oturum Açın’ butonuna tıklayın.
Örneğimiz kapsamında ‘root user’ olarak giriş yapacağız. (Hali hazırda IAM user’a sahip olanlarınız IAM user olarak girebilirler.) AWS hesabınızı oluştururken kullandığınız mail adresini ‘Root user email address’ bölümüne girin ve ardından ‘Next’ butonuna tıklayın.
Parolanızı ‘Password’ kısmına girin ve ‘Sign-in’ butonuna tıklayın.
Root user olarak giriş yaparken e-mail adresinizi ve şifrenizi girmeniz, AWS hesabınıza erişmek için yeterliydi daha önceki denememizde. Ancak şimdi ekstra bir güvenlik katmanı olarak bizden MFA kodunu girmemizi istiyor. Karşımıza çıkan ekranda ‘MFA code’ kısmına, Authenticator uygulamanızı açıp orda gördüğünüz MFA kodunu girin ve ardından ‘Submit’ butonuna tıklayın.
Bingo! AWS Management Console’a çok daha güvenli bir şekilde giriş yapmış olduk. Hesabınızı korumak için basit ve önemli bir adım, değil mi?
Çok faktörlü kimlik doğrulamanın birincil amacı, hesapların ele geçirilmesi riskini azaltmak ve kullanıcılar ile hesapları için ek güvenlik sağlamaktır. Siber ihlallerin %80'inden fazlası zayıf veya çalınan parolalar nedeniyle gerçekleştiğinden; MFA, kullanıcıları ve verilerini korumak için gereken ek güvenlik katmanlarını sağlayabilir.
Oğuzhan Hızıroğlu
AWS'nin sunduğu güvenlik özellikleri ve MFA'nın nasıl yapılandırılacağı hakkında daha fazla bilgi almak ve AWS eğitim programlarına katılmak için bize ulaşabilirsiniz. info@yonetim.academy adresine mail atmanız yeterli.
Yazının tüm hakları Yönetim.Academy’e aittir. İzinsiz olarak, kaynak belirtilerek dahi alıntı yapılması ya da yazının tamamının başka yerde yayınlanması yasaktır.