我可以使用此问题中的答案通过策略对单个 IAM 用户和组强制实施 MFA:您可以要求 AWS IAM 帐户进行 MFA 吗?
但如果有人创建了新的 IAM 用户,该用户就不会受到相同的限制。有没有办法对所有 IAM 用户(包括尚未创建的用户)强制实施 MFA?
答案1
解决此问题的另一种方法是设置 IAM 策略,以便某些或所有操作都要求用户进行 2FA 身份验证。因此,虽然用户不必启用 2FA,但除非他们进行身份验证,否则他们无法执行任何受此保护的操作。
这AWS 博客有一个例子说他们必须在 300 秒内完成身份验证,但实际上这可能有点短。
{
"Statement":[{
"Action":["ec2:*"],
"Effect":"Allow",
"Resource":["*"],
"Condition":{
"NumericLessThan":{"aws:MultiFactorAuthAge":"300"}
}
}
]
}