Amazon web services AWS强制MFA策略AllowInvidualUserToDeactivate Only RowNMFaOnly是否必须使用MFA?
我正在为一个测试帐户设置MFA,并在这样做的同时学到了一些东西。除了SID之外,这是不言自明的:AllowindividualUserToDeactivate only the RowNMFaonly when using MFA 1) 我想弄清楚这项政策需要什么样的方案 2) 在强制执行MFA政策中保留这一点是强制性的还是最佳做法?我想强制MFA一次,并确保用户不能停用(只有管理员应该)它。我的想法有什么缺点吗Amazon web services AWS强制MFA策略AllowInvidualUserToDeactivate Only RowNMFaOnly是否必须使用MFA?,amazon-web-services,amazon-iam,multi-factor-authentication,Amazon Web Services,Amazon Iam,Multi Factor Authentication,我正在为一个测试帐户设置MFA,并在这样做的同时学到了一些东西。除了SID之外,这是不言自明的:AllowindividualUserToDeactivate only the RowNMFaonly when using MFA 1) 我想弄清楚这项政策需要什么样的方案 2) 在强制执行MFA政策中保留这一点是强制性的还是最佳做法?我想强制MFA一次,并确保用户不能停用(只有管理员应该)它。我的想法有什么缺点吗 谢谢你的帮助 您提到的策略允许用户停用自己的MFA设备。只有当他们接触到MFA,他
谢谢你的帮助 您提到的策略允许用户停用自己的MFA设备。只有当他们接触到MFA,他们才能这样做
{
"Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
}
如果您希望每个用户决定是否使用MFA,是的,此策略是最佳实践。这不是强制性的
但是,当您想要强制执行它时,您不应该允许普通用户拥有权限iam:DeactivateMFADevice
。只有管理员才应该拥有它
要执行MFA,重要的部分是条件:
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}