【发布时间】:2021-04-27 04:52:07
【问题描述】:
我正在尝试寻找编写 AWS 策略的最佳方法,以便用户必须使用 MFA 进行控制台访问,但他们不需要使用 MFA 进行 cli 访问。基于此 AWS documentation 似乎大多数策略都使用 aws:MultiFactorAuthPresent 我正在尝试找到一种方法来编写检查类似 aws:MultiFactorAuthEnabled 的策略。这样用户仍然可以使用 cli,但前提是他们启用了多因素身份验证,而不是检查是否存在多因素身份验证。
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
}
【问题讨论】:
标签: amazon-web-services amazon-iam