Você pode exigir MFA para contas do AWS IAM?

21

É possível exigir que a autenticação multifatorial (MFA) seja ativada para contas específicas / todas do IAM no Amazon Web Services?

Existem opções para requisitos de senha e está claro como alguém pode optar por adicioná-lo à sua conta, mas não está claro se há uma opção para forçar os usuários a ter MFA.

    
por Joe 27.02.2013 / 22:19

5 respostas

8

Depois de dar uma olhada, parece que a resposta é "meio que". No IAM, um administrador pode configurar um MFA para outro usuário do IAM. Embora isso possa ser um pouco complicado se você estiver configurando um MFA virtual, é possível. Então, se o usuário não tiver recebido permissões para atualizar / remover seu MFA, ele será efetivamente necessário.

Embora eu ainda não tenha determinado a lista completa de ações que devem ser negadas (ou simplesmente não concedidas), este post parece ter as informações, e atualizarei esta resposta assim que eu tiver testado.

[Atualização]

Consegui configurar usuários como usuários avançados (dessa forma, não concedendo a eles acesso a funções do IAM, embora tenha certeza de que você poderia obter mais detalhes) e implementar o MFA com eles. Usando essa metodologia, eles não poderão desativá-la.

    
por 28.02.2013 / 15:59
12

A resposta é sim, existe. Usando uma condição. Por exemplo, para contas de administrador:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

Ele reforçará o MFA para autenticação de senha e autenticação baseada em token usando a API.

    
por 12.02.2014 / 10:50
1

Aparentemente não. Parece que o MFA para contas do IAM é opcional, embora você faça o melhor para postar nos Fóruns de Suporte da AWS para uma resposta autoritária.

    
por 27.02.2013 / 22:47
0

Sim, você pode exigir o MFA para contas do IAM para o console da Web e para a linha de comando awscli . Na verdade, não é possível exigir MFA de forma confiável para o console da Web, embora não seja necessário para a linha de comando awscli , porque ambos atingem as mesmas APIs. Digo "confiavelmente" porque, com a política complexa do IAM, é possível permitir algumas operações de awscli sem o MFA ao impor o MFA ao console da web. No entanto, os resultados são um pouco imprevisíveis e, além disso, as chaves do IAM são igualmente, se não mais perigosas, desprotegidas. Minha recomendação é exigir isso para ambos e, em seguida, talvez criar chaves desprotegidas para usos especiais em que o MFA é absolutamente contra-indicado. Para papéis de processos automatizados, a melhor escolha seria geralmente.

Para facilitar as operações de MFA na linha de comando, criei um conjunto de scripts bash e um um exemplo de política de fiscalização de MFA cuidadosamente elaborado que facilita a anexação / remoção do vMFAd e a inicialização e gerenciamento de sessões do MFA. Eles trabalham com variantes do macOS e do Linux, mas provavelmente não no Windows (não testado).

    
por 08.05.2018 / 00:22
0

Documentamos algumas considerações para o multifator da API da AWS em geral (onde adicionar as condições, o que são as implicações etc.) na documentação de algumas ferramentas personalizadas ( link ) que desenvolvemos para usar o Yubikeys como fonte para os tokens TOTP. Isso torna o trabalho com funções e credenciais de longo prazo + tokens de sessão bastante fáceis.

    
por 17.09.2018 / 10:42