【问题标题】:Is it possible to enforce MFA on AWS for all users?是否可以在 AWS 上为所有用户强制执行 MFA?
【发布时间】:2017-02-03 21:09:18
【问题描述】:

我正在尝试强制所有用户在注册时设置 MFA 登录。这在 AWS 中是否可行?如何或在哪里执行此操作的说明?

【问题讨论】:

    标签: amazon-web-services


    【解决方案1】:

    有点。您基本上可以在不使用 MFA 的情况下阻止非管理员用户进行 API 调用。在AWS blog post 中有一个关于设置的部分。该博客文章描述了如何授予某人设置 MFA 的权限,并要求 MFA 用于与 AWS API 的所有其他交互。我认为这也需要将 MFA 与来自 SDK 和 CLI 的调用一起使用,因此它可能不是您想要的。

    另外,我说这仅适用于非管理员用户,因为管理员用户可以进入并禁用对其帐户的 MFA 限制。

    【讨论】:

      【解决方案2】:

      这很难做到,因为需要设置 MFA 设备,并且一旦完成,您就需要输入设备中的信息。通常您必须依次输入两个令牌才能“同步”设备。

      因此,您无法在没有用户的情况下为用户设置虚拟 MFA。但是,如果您有硬件 MFA 设备(请参阅 https://aws.amazon.com/iam/details/mfa/),那么您可以设置用户和设备,然后将设备交给用户。

      无论如何它都不完美。

      【讨论】:

      • 你能解释一下这是如何回答这个问题的吗?我不确定你想表达什么观点。
      【解决方案3】:

      是的,这绝对可以做到!当然,管理员和 root 用户可以禁用该策略,但如果您愿意,您还可以限制谁可以更新或禁用该策略。当强制策略生效时,当用户登录时,他们唯一有权做的就是为其 IAM 用户启用 MFA。一旦他们在启用 MFA 的情况下重新登录,他们就可以使用 IAM 策略/组成员资格等授予他们的访问权限。

      仅在 AWS Web 控制台中执行 MFA 是不可能的,因为 Web 控制台本质上是 AWS CLI 工具也可以访问的 API 的前端。在命令行上启动和管理 MFA(和角色)会话是一个相当复杂的过程,因此您可能对我刚刚发布的 2.0 版本的实用程序感兴趣。它使启动和管理 MFA 和角色会话变得非常容易。我还提供了一个示例执行策略,该策略经过精心构建以与该实用程序一起使用。还提供了一个配套脚本,以便从命令行轻松启用/分配 MFA 设备(例如,对于没有 Web 控制台访问权限的用户)。

      您可以在我的 GitHub https://github.com/vwal/awscli-mfa 中找到该实用程序、有关它的更多信息以及示例策略

      【讨论】:

        猜你喜欢
        • 2018-09-22
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2018-08-20
        • 1970-01-01
        相关资源
        最近更新 更多