我们有一个业务需求,其中删除 AWS 帐户中的资源需要 2 个用户的批准 - 可能是管理员和经理。
似乎没有一种直接、开箱即用的方法来做到这一点。
我们可以通过几种手动处理方法来解决问题
- 删除资源的权限将仅提供给经理 - 从技术上讲,经理不知道如何删除资源。经理将与删除资源的管理员共享屏幕。
- 超级管理员授予管理员基于时间的临时删除资源权限
除此之外,是否可以自动强制要求 2 个用户删除资源?
具体来说,我们可以使用 iam 条件键来要求策略中 2 个用户的 mfa 吗?
答案1
我不知道在 AWS 中“开箱即用”实现此目的的任何技术方法。您绝对不能为单个操作强制使用 2 个 MFA 令牌,不是按照您的意思。您可能能够通过承担角色来拼凑一些东西,但 MFA 与用户而不是角色相关联。
一个实用的方法可能是:
- 用户没有删除权限。将他们添加到名为“用户”或类似名称的 IAM 组。与帐户关联的个人知道密码并拥有 MFA 令牌。
- 管理员用户有权删除资源。此用户必须启用 MFA。一组人知道密码(例如管理员),另一组人持有共享的 MFA 令牌(例如授权者)
- 要删除资源,具有管理员权限的用户会要求授权人为他们输入 MFA 代码,观察他们执行授权任务,然后观察他们注销。