【问题标题】:Is AWS Enforce MFA policy AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA mandatory?AWS Enforce MFA 策略 AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA 是强制性的吗?
【发布时间】:2019-07-05 15:34:21
【问题描述】:
我正在为一个测试帐户设置 MFA,并在此过程中学到了一些东西。经历了AWS Documentation for the default Policy JSON,除了 SID 之外,这很容易解释:AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA
1) 我正在尝试找出需要此策略的可能场景是什么?
2) 将其保留在强制执行 MFA 政策中是强制性的还是最佳做法?我想强制执行一次 MFA 并确保用户无法停用(只有管理员应该)它。我的想法有什么缺点吗?
感谢您的帮助!
【问题讨论】:
标签:
amazon-web-services
amazon-iam
multi-factor-authentication
【解决方案1】:
您提到的政策允许用户停用他们自己的 MFA 设备。他们只有通过 MFA 认证才能做到这一点。
{
"Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
}
如果您希望每个用户决定他们是否会使用 MFA,是的,此政策是最佳做法。这不是强制性的。
但由于你想强制执行,你不应该让普通用户拥有iam:DeactivateMFADevice的权限。只有管理员才能拥有它。
要执行 MFA,重要的部分是条件:
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}