【问题标题】:Is AWS Enforce MFA policy AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA mandatory?AWS Enforce MFA 策略 AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA 是强制性的吗?
【发布时间】:2019-07-05 15:34:21
【问题描述】:

我正在为一个测试帐户设置 MFA,并在此过程中学到了一些东西。经历了AWS Documentation for the default Policy JSON,除了 SID 之外,这很容易解释:AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA

1) 我正在尝试找出需要此策略的可能场景是什么?

2) 将其保留在强制执行 MFA 政策中是强制性的还是最佳做法?我想强制执行一次 MFA 并确保用户无法停用(只有管理员应该)它。我的想法有什么缺点吗?

感谢您的帮助!

【问题讨论】:

    标签: amazon-web-services amazon-iam multi-factor-authentication


    【解决方案1】:

    您提到的政策允许用户停用他们自己的 MFA 设备。他们只有通过 MFA 认证才能做到这一点。

        {
            "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        }
    

    如果您希望每个用户决定他们是否会使用 MFA,是的,此政策是最佳做法。这不是强制性的。

    但由于你想强制执行,你不应该让普通用户拥有iam:DeactivateMFADevice的权限。只有管​​理员才能拥有它。

    要执行 MFA,重要的部分是条件:

            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
    

    【讨论】:

      猜你喜欢
      • 2022-12-01
      • 1970-01-01
      • 2016-11-08
      • 1970-01-01
      • 1970-01-01
      • 2016-11-07
      • 2020-07-05
      • 2012-04-09
      • 1970-01-01
      相关资源
      最近更新 更多