Apakah mungkin untuk meminta Otentikasi Multi Faktor (MFA) diaktifkan untuk spesifik / semua akun IAM di Amazon Web Services?
Ada opsi untuk persyaratan kata sandi dan jelas bagaimana seseorang dapat memilih untuk menambahkannya ke akun seseorang, tetapi tidak jelas apakah ada opsi untuk memaksa pengguna memiliki MFA.
Jawaban:
Jawabannya adalah ya, ada. Dengan menggunakan suatu kondisi. Misalnya, untuk akun admin:
Ini akan menegakkan MFA untuk otentikasi kata sandi dan otentikasi berbasis token menggunakan API.
sumber
Setelah sedikit melihat-lihat, nampaknya jawabannya adalah "agak". Di IAM, seorang administrator dapat mengkonfigurasi MFA untuk pengguna IAM lainnya. Meskipun ini mungkin sedikit rumit jika Anda mengatur MFA virtual, itu mungkin. Kemudian, jika pengguna belum diberikan izin untuk memperbarui / menghapus MFA mereka, itu diperlukan secara efektif.
Meskipun saya belum menentukan daftar lengkap tindakan yang harus ditolak (atau tidak diberikan), posting ini tampaknya memiliki informasi, dan saya akan memperbarui jawaban ini setelah saya mengujinya.
[Memperbarui]
Saya dapat mengatur pengguna sebagai pengguna-daya (sehingga tidak memberi mereka akses ke fungsi IAM, meskipun saya yakin Anda bisa mendapatkan lebih banyak rincian), dan mengimplementasikan MFA mereka bersama mereka. Dengan menggunakan metodologi ini, mereka tidak akan dapat menonaktifkannya.
sumber
Ya, Anda dapat meminta akun MFA untuk IAM baik untuk konsol web, dan untuk
awscli
baris perintah. Faktanya, tidak mungkin untuk membutuhkan MFA untuk konsol web andal tidak memerlukannya untukawscli
baris perintah, karena keduanya mengenai API yang sama. Saya katakan 'andal' karena dengan kebijakan IAM yang kompleks dimungkinkan untuk memungkinkan beberapaawscli
operasi tanpa MFA sambil menegakkan MFA untuk konsol web. Namun, hasilnya agak tidak dapat diprediksi, dan selain itu, kunci IAM sama jika tidak lebih berbahaya tanpa perlindungan. Rekomendasi saya adalah mewajibkannya untuk keduanya, dan kemudian mungkin membuat kunci yang tidak terlindungi untuk penggunaan khusus di mana MFA benar-benar kontraindikasi. Untuk proses otomatis, peran akan menjadi pilihan yang lebih baik secara umum.Untuk membuat operasi MFA pada baris perintah lebih mudah, saya telah membuat satu set skrip bash dan contoh kebijakan penegakan MFA yang dibuat dengan hati-hati yang membuatnya mudah untuk melampirkan / melepaskan vMFAd, dan untuk memulai dan mengelola sesi MFA. Mereka bekerja pada varian macOS dan Linux, tetapi kemungkinan tidak pada Windows (tidak diuji).
sumber
Sepertinya tidak. Tampaknya akun MFA untuk IAM adalah opsional, walaupun Anda sebaiknya memposting ke Forum Dukungan AWS untuk jawaban yang resmi.
sumber
Kami mendokumentasikan beberapa pertimbangan untuk multifaktor AWS API secara umum (tempat untuk menambahkan persyaratan, apa implikasinya, dll.) Dalam dokumentasi untuk beberapa perkakas khusus ( https://github.com/kreuzwerker/awsu ) yang kami kembangkan untuk menggunakan Yubikeys sebagai sumber untuk token TOTP. Ini membuat bekerja dengan peran dan kredensial jangka panjang + token sesi cukup mudah.
sumber
Jawaban yang diterima tidak lagi valid AFAICT. AWS telah mendokumentasikan bagaimana Anda dapat melakukan ini melalui artikel tutorial mereka di sini:
https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html
Saya mengikutinya untuk Akun dan Tim AWS baru saya dan itu berhasil dengan baik.
sumber