Amazon web services 是否可以对所有用户在AWS上强制执行MFA?
我试图强制所有用户在注册时设置MFA登录。这在AWS中是否可行,以及如何或在何处执行此操作的说明?这很难做到,因为需要设置MFA设备,一旦设置完毕,您需要从设备输入信息。通常,您必须按顺序输入两个令牌才能“同步”设备 因此,如果没有用户,则无法为用户设置虚拟MFA。但是,如果您有硬件MFA设备(请参阅),则可以设置用户和设备,然后将设备提供给用户Amazon web services 是否可以对所有用户在AWS上强制执行MFA?,amazon-web-services,Amazon Web Services,我试图强制所有用户在注册时设置MFA登录。这在AWS中是否可行,以及如何或在何处执行此操作的说明?这很难做到,因为需要设置MFA设备,一旦设置完毕,您需要从设备输入信息。通常,您必须按顺序输入两个令牌才能“同步”设备 因此,如果没有用户,则无法为用户设置虚拟MFA。但是,如果您有硬件MFA设备(请参阅),则可以设置用户和设备,然后将设备提供给用户 无论如何,它都不是完美的。这很难做到,因为需要设置MFA设备,一旦设置完毕,就需要从设备输入信息。通常,您必须按顺序输入两个令牌才能“同步”设备 因此
无论如何,它都不是完美的。这很难做到,因为需要设置MFA设备,一旦设置完毕,就需要从设备输入信息。通常,您必须按顺序输入两个令牌才能“同步”设备 因此,如果没有用户,则无法为用户设置虚拟MFA。但是,如果您有硬件MFA设备(请参阅),则可以设置用户和设备,然后将设备提供给用户
无论如何它都不是完美的。有点像。实际上,您可以阻止非管理员用户在不使用MFA的情况下进行API调用。这里有一个关于设置的部分。这篇博文描述了如何让某人访问设置MFA,以及在与AWSAPI的每一次交互中都需要MFA。我认为这将要求MFA也与来自SDK和CLI的调用一起使用,因此它可能不是您想要的
另外,我说这只适用于非管理员用户,因为管理员用户可以进入并禁用其帐户上的MFA限制。某种程度上。实际上,您可以阻止非管理员用户在不使用MFA的情况下进行API调用。这里有一个关于设置的部分。这篇博文描述了如何让某人访问设置MFA,以及在与AWSAPI的每一次交互中都需要MFA。我认为这将要求MFA也与来自SDK和CLI的调用一起使用,因此它可能不是您想要的
另外,我说这只适用于非管理员用户,因为管理员用户可以进入并禁用其帐户上的MFA限制。是的,这绝对可以做到!当然,管理员和root用户可以禁用策略,但如果您愿意,还可以限制可以更新或禁用策略的用户。当强制策略生效时,当用户登录时,他们唯一有权做的事情就是为其IAM用户启用MFA。一旦他们在启用MFA的情况下重新登录,他们就可以访问IAM策略/组成员资格等 不可能仅在AWS web控制台中实施MFA,因为web控制台本质上是AWS CLI工具也访问的API的前端。在命令行上启动和管理MFA(和角色)会话是一个相当复杂的过程,因此您可能对我刚刚发布的2.0版本的实用程序感兴趣。它使启动和管理MFA和角色会话变得非常容易。我还提供了一个示例强制策略,该策略是为使用该实用程序而精心构建的。还提供了一个配套脚本,以便于从命令行启用/分配MFA设备(例如,对于没有web控制台访问权限的用户)
您可以在my GitHub中找到该实用程序、有关它的更多信息和示例策略,网址为是的,这绝对可以做到!当然,管理员和root用户可以禁用策略,但如果您愿意,还可以限制可以更新或禁用策略的用户。当强制策略生效时,当用户登录时,他们唯一有权做的事情就是为其IAM用户启用MFA。一旦他们在启用MFA的情况下重新登录,他们就可以访问IAM策略/组成员资格等 不可能仅在AWS web控制台中实施MFA,因为web控制台本质上是AWS CLI工具也访问的API的前端。在命令行上启动和管理MFA(和角色)会话是一个相当复杂的过程,因此您可能对我刚刚发布的2.0版本的实用程序感兴趣。它使启动和管理MFA和角色会话变得非常容易。我还提供了一个示例强制策略,该策略是为使用该实用程序而精心构建的。还提供了一个配套脚本,以便于从命令行启用/分配MFA设备(例如,对于没有web控制台访问权限的用户) 您可以在my GitHub中找到该实用程序、有关它的更多信息以及示例策略,网址为