您可以要求 AWS IAM 帐户进行 MFA 吗?

您可以要求 AWS IAM 帐户进行 MFA 吗?

是否可以要求为 Amazon Web Services 中的特定/所有 IAM 帐户启用多重身份验证 (MFA)?

有密码要求的选项,并且很清楚如何选择将其添加到自己的帐户,但不清楚是否有强制用户进行 MFA 的选项。

答案1

经过一番研究,答案似乎是“有点”。在 IAM 中,管理员可以为另一个 IAM 用户配置 MFA。虽然如果您要设置虚拟 MFA,这可能有点棘手,但这是可能的。然后,如果用户尚未被授予更新/删除其 MFA 的权限,则实际上是需要的。

虽然我还没有确定应该被拒绝(或者根本不被允许)的行为的完整清单,这个帖子似乎有信息,我测试完后会更新这个答案。

[更新]

我能够将用户设置为高级用户(从而不授予他们访问 IAM 功能的权限,尽管我相信您可以更详细地了解),并与他们一起实施 MFA。使用这种方法,他们将无法禁用它。

答案2

答案是肯定的。通过使用条件。例如,对于管理员帐户:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

它将使用 API 强制执行密码验证和基于令牌的验证的 MFA。

答案3

接受的答案不再有效 AFAICT。AWS 已通过其教程文章记录了如何执行此操作:

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html

我为我的新 AWS 帐户和团队遵循了这一方法,效果非常好。

答案4

显然不是。 看起来 IAM 帐户的 MFA 是可选的,但您最好将问题发布到 AWS 支持论坛以获得权威答案。

相关内容