Amazon web services 在AWS上是否可以在组级别强制执行MFA(例如,对于具有管理员权限的所有人)?
是否可以创建IAM规则或SCP(组织规则)来对特定组中的所有用户或具有特定权限的用户(例如管理员或超级用户)强制执行MFA?据我所知,您可以将拒绝部分附加到任何策略,或创建拒绝策略并将其附加到任何组 例如,您有添加了许多角色的“Administrators”组以及“MultifactorAuthForce”策略: “多因素作用力”示例: 更新: 刚刚在我的账户上测试过,政策有效。创建了一个没有MFA的帐户,添加了密码并分配给上面的组。当作为该用户登录时,我被拒绝所有资源上的所有操作。之后,我向用户添加了MFA并再次登录。我能够看到资源Amazon web services 在AWS上是否可以在组级别强制执行MFA(例如,对于具有管理员权限的所有人)?,amazon-web-services,aws-iam,aws-organizations,Amazon Web Services,Aws Iam,Aws Organizations,是否可以创建IAM规则或SCP(组织规则)来对特定组中的所有用户或具有特定权限的用户(例如管理员或超级用户)强制执行MFA?据我所知,您可以将拒绝部分附加到任何策略,或创建拒绝策略并将其附加到任何组 例如,您有添加了许多角色的“Administrators”组以及“MultifactorAuthForce”策略: “多因素作用力”示例: 更新: 刚刚在我的账户上测试过,政策有效。创建了一个没有MFA的帐户,添加了密码并分配给上面的组。当作为该用户登录时,我被拒绝所有资源上的所有操作。之后,我向
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllWithoutMFA",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}