我可以在账户级别强制所有 IAM 用户使用 MFA 吗?

我可以在账户级别强制所有 IAM 用户使用 MFA 吗?

我可以使用此问题中的答案通过策略对单个 IAM 用户和组强制实施 MFA:您可以要求 AWS IAM 帐户进行 MFA 吗?

但如果有人创建了新的 IAM 用户,该用户就不会受到相同的限制。有没有办法对所有 IAM 用户(包括尚未创建的用户)强制实施 MFA?

答案1

解决此问题的另一种方法是设置 IAM 策略,以便某些或所有操作都要求用户进行 2FA 身份验证。因此,虽然用户不必启用 2FA,但除非他们进行身份验证,否则他们无法执行任何受此保护的操作。

AWS 博客有一个例子说他们必须在 300 秒内完成身份验证,但实际上这可能有点短。

{
  "Statement":[{
      "Action":["ec2:*"],
      "Effect":"Allow",
      "Resource":["*"],
      "Condition":{
         "NumericLessThan":{"aws:MultiFactorAuthAge":"300"}
      }
    }
  ]
}

相关内容