Como permitir que usuários do IAM configurem seus próprios dispositivos MFA virtuais

1

Quero permitir que meus usuários do IAM configurem seus próprios dispositivos MFA, por meio do console, há uma única política que eu possa usar para conseguir isso?

Até agora, posso conseguir isso por meio de várias políticas do IAM, permitindo que elas listem todos os dispositivos mfa e listem usuários (para que eles possam se encontrar no console do IAM e ...

Estou basicamente procurando uma maneira mais direta de controlar isso.

Devo acrescentar que meus usuários do IAM são usuários confiáveis, por isso não preciso (embora seja muito bom) bloqueá-los ao mínimo possível, por isso, se eles puderem ver uma lista de todos os usuários que está ok .

    
por Ali 07.06.2014 / 18:04

2 respostas

1

[...] is there a single policy that I can use to achieve this?...

So far I can achieve this through a number of IAM policies, [...]

I am basically looking for a more straight forward way of controlling this.

Eu tenho medo que sua abordagem atual seja a única viável neste momento, veja minha resposta relacionada à pergunta mais genérica Como posso Eu dou permissões de usuário do AWS IAM para gerenciar suas próprias credenciais de segurança? , que se refere a outra sobre acesso do IAM ao EC2 REST API? por sua vez, onde eu exploro 'IAM Credentials Self Management' em geral.

    
por 08.06.2014 / 15:12
1

Os documentos da AWS fornecem um exemplo de como fazer isso em "Permitir que os usuários gerenciem somente seus próprios dispositivos MFA virtuais":

link

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUsersToCreateEnableResyncTheirOwnVirtualMFADevice",
      "Effect": "Allow",
      "Action": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:ResyncMFADevice"
      ],
      "Resource": [
        "arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}",
        "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
      ]
    },
    {
      "Sid": "AllowUsersToDeactivateDeleteTheirOwnVirtualMFADevice",
      "Effect": "Allow",
      "Action": [
        "iam:DeactivateMFADevice",
        "iam:DeleteVirtualMFADevice"
      ],
      "Resource": [
        "arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}",
        "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
      ],
      "Condition": {
        "Bool": {
          "aws:MultiFactorAuthPresent": true
        }
      }
    },
    {
      "Sid": "AllowUsersToListMFADevicesandUsersForConsole",
      "Effect": "Allow",
      "Action": [
        "iam:ListMFADevices",
        "iam:ListVirtualMFADevices",
        "iam:ListUsers"
      ],
      "Resource": "*"
    }
  ]
}

Para encontrar o seu número de ID de conta da AWS para plug-in no AWS Management Console, clique em Suporte na barra de navegação no canto superior direito e depois clique em Central de suporte. Sua ID da conta conectada no momento aparece abaixo do menu Suporte.

Veja também link

    
por 30.04.2016 / 04:21