Você pode usar o mesmo Fob Gemalto MFA para várias contas da AWS?

1

Eu controlo várias contas da AWS. Gostaria de usar o MFA para os logins de raiz.

Eu tenho um chaveiro de hardware da Amazon da Gemalto ( docs ) registrado para o MFA para a raiz conta em um deles.

Eu tentei adicionar o MFA a uma segunda conta usando o mesmo chaveiro, mas recebi a mensagem " The token serial number was not found. ".

Alguém pode confirmar ou negar se é possível reutilizar o mesmo chaveiro do MFA para várias contas da AWS?

Eu não consegui encontrar nada sobre esse cenário na documentação do Amazon, e a mensagem de erro é ambígua. Cryptographically parece-me que deveria funcionar bem, como é um token baseado em tempo, em vez de uma cadeia OTP.

    
por Rich 27.02.2017 / 11:14

1 resposta

3

Sua lógica parece sensata, mas a AWS não suporta isso.

Q. Can I use my authentication device with multiple AWS accounts?

No. The authentication device or mobile phone number is bound to an individual AWS identity (IAM user or root account). If you have a TOTP-compatible application installed on your smartphone, you can create multiple virtual MFA devices on the same smartphone. Each one of the virtual MFA devices is bound to a single identity, just like a hardware device. If you dissociate (deactivate) the authentication device, you can then reuse it with a different AWS identity. The authentication device cannot be used by more than one identity simultaneously.

https://aws.amazon.com/iam/faqs/

Uma possível justificativa para sua política pode ser encontrada em esta resposta a "O compartilhamento do mesmo TOTP em vários servidores é menos seguro?" .

    
por 27.02.2017 / 17:44