【问题标题】:How to write an AWS IAM policy to enforce MFA without enabling AWS cli MFA如何在不启用 AWS cli MFA 的情况下编写 AWS IAM 策略以强制执行 MFA
【发布时间】:2021-04-27 04:52:07
【问题描述】:

我正在尝试寻找编写 AWS 策略的最佳方法,以便用户必须使用 MFA 进行控制台访问,但他们不需要使用 MFA 进行 cli 访问。基于此 AWS documentation 似乎大多数策略都使用 aws:MultiFactorAuthPresent 我正在尝试找到一种方法来编写检查类似 aws:MultiFactorAuthEnabled 的策略。这样用户仍然可以使用 cli,但前提是他们启用了多因素身份验证,而不是检查是否存在多因素身份验证。

{
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
}

【问题讨论】:

标签: amazon-web-services amazon-iam


【解决方案1】:

解决此方案的最佳方法是创建两个组 servicesusers 将 MFA 策略应用于 users。这样,我们仍然可以允许在没有 MFA 的情况下进行编程访问,但对人类用户强制执行 MFA。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2016-11-08
    • 1970-01-01
    • 2020-02-13
    • 2022-12-01
    • 2019-08-17
    • 1970-01-01
    相关资源
    最近更新 更多