Можно ли потребовать MFA для AWS, я - учетные записи?
Какой маршрутизатор - это? У меня был ноутбук Mac, после того как это запрет маршрутизатор netgear из-за слишком многих запросов tcp сразу. Это умерло бы, после того как я пытался открыть слишком много вкладок браузера сразу и перегрузить маршрутизатор, приносящий его также остановка и требующий, чтобы сброс возвратился. Это был более старый маршрутизатор netgear, который не видел микропрограммное обновление в течение многих лет и был в новейшем доступном.
Немного осмотревшись, кажется, что ответ - «отчасти». В IAM администратор может настроить MFA для другого пользователя IAM. Хотя это может быть немного сложно, если вы настраиваете виртуальный MFA, это возможно. Затем, если пользователю не были предоставлены разрешения на обновление / удаление своего MFA, это фактически необходимо.
Хотя я еще не определил полный список действий, которые должны быть отклонены (или просто не разрешены), этот пост , похоже, содержит информацию, и я обновлю этот ответ, как только протестирую его. .
[Обновление]
Я смог настроить пользователей как опытных пользователей (тем самым не предоставляя им доступ к функциям IAM, хотя я уверен, что вы могли бы получить более детальную информацию) и реализовать с ними их MFA. Используя эту методологию, они не смогут его отключить.
Принятый ответ является больше не действительным AFAICT. AWS зарегистрировал, как можно сделать это через их учебную статью здесь:
https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html
я следовал за этим для своей новой Учетной записи AWS и Команды, и она работала отлично.
По-видимому, нет. Похоже, что MFA для учетных записей IAM является необязательным, хотя лучше всего отправить сообщение на форумы поддержки AWS для получения авторитетного ответа.
The answer is yes, there is. By using a condition. For instance, for admin accounts:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition":
{
"Null":{"aws:MultiFactorAuthAge":"false"}
}
}
]
}
It will enforce MFA for both password authentication and token-based authentication using the API.
Да, вы можете потребовать MFA для учетных записей IAM как для веб-консоли, так и для командной строки awscli . Фактически невозможно надежно потребовать MFA для веб-консоли, не требуя его для командной строки awscli , потому что оба обращаются к одним и тем же API. Я говорю «надежно», потому что со сложной политикой IAM можно разрешить некоторые операции awscli без MFA, одновременно применяя MFA для веб-консоли. Однако результаты несколько непредсказуемы, и, кроме того, ключи IAM столь же, если не более опасны, незащищенные. Я рекомендую потребовать его для обоих, а затем, возможно, создать незащищенные ключи для особых случаев, когда MFA абсолютно противопоказан. Для автоматизированных процессов лучше выбрать роли.
Чтобы упростить операции MFA в командной строке, я создал набор сценариев bash и тщательно продуманный пример политики принудительного применения MFA , которые делают его легко подключать / отключать vMFAd, а также запускать сеансы MFA и управлять ими. Они работают в вариантах macOS и Linux, но, вероятно, не работают в Windows (не тестировалось).
Мы задокументировали несколько соображений для многофакторности API AWS в целом (где добавлять условия, каковы последствия и т. Д.) В документации для некоторых настраиваемых инструментов ( https: // github.com / kreuzwerker / awsu ) мы разработали для использования Yubikeys в качестве источника токенов TOTP. Это упрощает работу с ролями и долгосрочными учетными данными + токенами сеанса.