Mengotomatiskan Aktivasi Perangkat MFA untuk Pengguna IAM

9

Saya membuat lebih dari 20 pengguna IAM dan saya ingin mengaktifkan perangkat MFA virtual untuk mereka. Apakah ada cara saya bisa melakukannya sekaligus untuk mereka semua atau cara apa pun untuk mengotomatisasi tugas ini? Saya ingin menjadikannya wajib bagi semua pengguna IAM untuk menggunakan MFA dan tanpa mengaturnya mereka tidak dapat melanjutkan.

Yeleshwar
sumber
1
@dmourati - bukankah ini hanya jawaban jika Anda memberikan tautan itu dan ringkasan singkat yang menunjukkan Condition "aws:MultiFactorAuthAge": "true"untuk digunakan dalam kebijakan?
GrzegorzOledzki
Mungkin, tetapi hanya itu yang saya punya waktu untuk dan ingin memberikan petunjuk ke arah yang benar.
dmourati

Jawaban:

1

Solusi saya untuk ini adalah proses aktivasi dua langkah untuk pengguna baru:

  1. Buat pengguna dengan hak yang cukup untuk mengubah kata sandi dan memperbarui MFA mereka. Beri tahu mereka bahwa mereka perlu memperbarui MFA mereka. Mereka belum masuk ke kelompok 'nyata' mereka.
  2. Miliki skrip pemungutan suara yang berjalan secara berkala. Jika pengguna telah mengaktifkan MFA mereka, mereka akan ditambahkan ke grup yang ditunjuk.

Pengguna yang tidak memperbarui MFA mereka akan dapat melakukan ... apa pun. Ketika mereka mengeluh, kirimi mereka pengingat tentang cara memperbarui MFA mereka. Ketika mereka kembali dengan OK, saya sudah melakukannya, jalankan skrip # 2.

sysadmin1138
sumber
-2

Bagaimana dengan halaman berikut, tampaknya menjawab masalah Anda: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html

Pixel
sumber
Ini adalah jawaban tautan saja, harap tambahkan setidaknya ringkasan solusi karena tautan membusuk.
sysadmin1138
Maaf untuk itu .. Yah cukup jelas dan saya ingin membuatnya tetap sederhana, saya akan menggunakan perintah powershell - New-IAMVirtualMFADevice dan skrip yang untuk setiap pengguna
Pixel