您可以要求 AWS IAM 帐户进行 MFA 吗？

Question 1

经过一番研究，答案似乎是“有点”。在 IAM 中，管理员可以为另一个 IAM 用户配置 MFA。虽然如果您要设置虚拟 MFA，这可能有点棘手，但这是可能的。然后，如果用户尚未被授予更新/删除其 MFA 的权限，则实际上是需要的。

虽然我还没有确定应该被拒绝（或者根本不被允许）的行为的完整清单，这个帖子似乎有信息，我测试完后会更新这个答案。

[更新]

我能够将用户设置为高级用户（从而不授予他们访问 IAM 功能的权限，尽管我相信您可以更详细地了解），并与他们一起实施 MFA。使用这种方法，他们将无法禁用它。

Answer

经过一番研究，答案似乎是“有点”。在 IAM 中，管理员可以为另一个 IAM 用户配置 MFA。虽然如果您要设置虚拟 MFA，这可能有点棘手，但这是可能的。然后，如果用户尚未被授予更新/删除其 MFA 的权限，则实际上是需要的。

虽然我还没有确定应该被拒绝（或者根本不被允许）的行为的完整清单，这个帖子似乎有信息，我测试完后会更新这个答案。

[更新]

我能够将用户设置为高级用户（从而不授予他们访问 IAM 功能的权限，尽管我相信您可以更详细地了解），并与他们一起实施 MFA。使用这种方法，他们将无法禁用它。

Question 2

答案是肯定的。通过使用条件。例如，对于管理员帐户：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

它将使用 API 强制执行密码验证和基于令牌的验证的 MFA。

Answer

答案是肯定的。通过使用条件。例如，对于管理员帐户：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

它将使用 API 强制执行密码验证和基于令牌的验证的 MFA。

Question 3

接受的答案不再有效 AFAICT。AWS 已通过其教程文章记录了如何执行此操作：

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html

我为我的新 AWS 帐户和团队遵循了这一方法，效果非常好。

Answer

接受的答案不再有效 AFAICT。AWS 已通过其教程文章记录了如何执行此操作：

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html

我为我的新 AWS 帐户和团队遵循了这一方法，效果非常好。

Question 4

显然不是。看起来 IAM 帐户的 MFA 是可选的，但您最好将问题发布到 AWS 支持论坛以获得权威答案。

Answer

显然不是。看起来 IAM 帐户的 MFA 是可选的，但您最好将问题发布到 AWS 支持论坛以获得权威答案。

您可以要求 AWS IAM 帐户进行 MFA 吗？

答案1

答案2

答案3

答案4

相关内容