Amazon web services AWS强制MFA策略AllowInvidualUserToDeactivate Only RowNMFaOnly是否必须使用MFA？_Amazon Web Services_Amazon Iam_Multi Factor Authentication

Amazon web services AWS强制MFA策略AllowInvidualUserToDeactivate Only RowNMFaOnly是否必须使用MFA？

amazon-web-services

Amazon web services AWS强制MFA策略AllowInvidualUserToDeactivate Only RowNMFaOnly是否必须使用MFA？,amazon-web-services,amazon-iam,multi-factor-authentication,Amazon Web Services,Amazon Iam,Multi Factor Authentication,我正在为一个测试帐户设置MFA，并在这样做的同时学到了一些东西。除了SID之外，这是不言自明的：AllowindividualUserToDeactivate only the RowNMFaonly when using MFA 1）我想弄清楚这项政策需要什么样的方案 2）在强制执行MFA政策中保留这一点是强制性的还是最佳做法？我想强制MFA一次，并确保用户不能停用（只有管理员应该）它。我的想法有什么缺点吗谢谢你的帮助您提到的策略允许用户停用自己的MFA设备。只有当他们接触到MFA，他

我正在为一个测试帐户设置MFA，并在这样做的同时学到了一些东西。除了SID之外，这是不言自明的：AllowindividualUserToDeactivate only the RowNMFaonly when using MFA

1）我想弄清楚这项政策需要什么样的方案

2）在强制执行MFA政策中保留这一点是强制性的还是最佳做法？我想强制MFA一次，并确保用户不能停用（只有管理员应该）它。我的想法有什么缺点吗

谢谢你的帮助

您提到的策略允许用户停用自己的MFA设备。只有当他们接触到MFA，他们才能这样做

    {
        "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
        "Effect": "Allow",
        "Action": [
            "iam:DeactivateMFADevice"
        ],
        "Resource": [
            "arn:aws:iam::*:mfa/${aws:username}",
            "arn:aws:iam::*:user/${aws:username}"
        ],
        "Condition": {
            "Bool": {
                "aws:MultiFactorAuthPresent": "true"
            }
        }
    }

如果您希望每个用户决定是否使用MFA，是的，此策略是最佳实践。这不是强制性的

但是，当您想要强制执行它时，您不应该允许普通用户拥有权限

iam:DeactivateMFADevice

。只有管理员才应该拥有它

要执行MFA，重要的部分是条件：

        "Condition": {
            "Bool": {
                "aws:MultiFactorAuthPresent": "true"
            }
        }