AWS IAM hesapları için MFA isteyebilir misiniz?

23

Amazon Web Hizmetlerinde belirli / tüm IAM hesaplarında Çok Faktörlü Kimlik Doğrulama'nın (MFA) etkinleştirilmesi gerekebilir mi?

Parola gereksinimleri için seçenekler vardır ve birinin hesabına nasıl ekleyebileceği açıktır, ancak kullanıcıları MFA'ya zorlamak için bir seçenek olup olmadığı açık değildir.

amazon-web-services amazon-iam

— Joe
kaynak

Çoğu eylem için MFA gerektiren IAM politikası: docs.aws.amazon.com/IAM/latest/UserGuide/…

— Simon Woodside

13

Cevap evet, var. Bir koşulu kullanarak. Örneğin, yönetici hesapları için:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

API kullanarak hem şifre doğrulama hem de belirteç tabanlı kimlik doğrulama için MFA'yı zorlar.

— smad
kaynak

6

Bu şekilde yapmak hem Konsol hem de API erişimi için gerekli olacaktır; sadece Konsol erişimi için talep etmek mümkün müdür ?

— jeffbyrnes

Fikrim yok. API (CLI) için can sıkıcı olduğunu biliyorum, çünkü MFA iyi desteklenmiyor. BTW Başka bir erişim yöntemi kullanarak onu atlamanın bir yoluysa, daha güçlü bir güvenlik kurma noktasını gerçekten göremiyorum.

— smad

3

@smad Bence nokta belirteç kimlik bilgileri otomatik olarak oluşturulur ve kullanıcının sabit diskinde saklanır, böylece tek saldırı vektörü kullanıcının bilgisayarından, kötü amaçlı yazılımlar yoluyla, bilgisayarı çalarak, vb. alır. Öte yandan, zayıf olabilir veya başka sitelerde yeniden kullanılabilir, bu nedenle, kaba bir şekilde zorlama veya saldırıya uğramış bir siteden şifre dökümü alma konusunda ek bir saldırı vektörü vardır. Bir parola ilkesi yardımcı olabilir, ancak ppl'yi engellemek zordur, örneğin sadece 1 veya!

— danny

@jeffbyrnes Bir kullanıcıyı MFA için etkinleştirdiğinizde, bu varsayılan olarak yalnızca konsol erişimi için etkindir. Daha sonra, hangi API / CLI eylemlerinin MFA gerektirdiğini tanımlamak için IAM politikasını bu şekilde kullanmanız gerekir.

— SeanFromIT

1

Bunun artık çalıştığından emin değilim - en azından doğru şekilde uygulamadıysam! (Yöneticiler grubuna atanan yeni bir politika olarak). Hesabımdaki hem yeni hem de mevcut yöneticiler MFA kurmadan giriş yapabilirler.

— Tim Malone

8

Etrafa bir baktıktan sonra, cevabın "tür" olduğu anlaşılıyor. IAM'de, bir yönetici başka bir IAM kullanıcısı için bir MFA yapılandırabilir. Sanal bir MFA ayarlıyorsanız, bu biraz zor olsa da mümkündür. Daha sonra, MFA’yı güncellemek / kaldırmak için kullanıcıya izin verilmemişse, etkin olarak gereklidir.

Reddedilmesi gereken (veya sadece verilmemiş) eylemlerin tam listesini henüz belirlememiş olmama rağmen, bu gönderide bilgi var gibi görünüyor ve bu cevabı test ettikten sonra güncelleyeceğim.

[Güncelleştirme]

Kullanıcıları güçlü kullanıcılar olarak ayarlayabildim (böylece daha ayrıntılı olabileceğinden emin olmama rağmen, bir IAM işlevlerine erişmelerine izin vermedim) ve MFA'larını onlarla birlikte uygulayabildim. Bu metodolojiyi kullanarak, onu devre dışı bırakamazlar.

— Joe
kaynak

1

IAM kullanıcılarının MFA'yı kendileri kurmasına izin vermenin mümkün olup olmadığını biliyor musunuz?

— süvari

Öyleyse, yolu bulamadım.

— Joe,

2

@MattTagg evet mümkündür, bakınız docs.aws.amazon.com/IAM/latest/UserGuide/…

— dasil003

1

Evet, hem web konsolu hem de awsclikomut satırı için IAM hesapları için MFA isteyebilirsiniz . Aslında, web konsolu için MFA'nın güvenilir bir şekilde talep edilmesi mümkün değil, awsclikomut satırı için de zorunlu değil , çünkü ikisi de aynı API'lere çarpıyor. 'Güvenilir' diyorum çünkü karmaşık IAM ilkesiyle, awscliMFA olmadan bazı işlemleri web konsolu için zorlamak mümkündür . Bununla birlikte, sonuçlar bir şekilde tahmin edilemez ve ayrıca, IAM anahtarları, eğer daha tehlikeli bir şekilde korunmuyorsa, aynı derecededir. Benim tavsiyem ikisine de ihtiyaç duymak ve sonra MFA'nın kesinlikle kontrendike olduğu özel kullanımlar için korumasız anahtarlar oluşturmak. Otomatik işlemler için roller genellikle daha iyi bir seçim olacaktır.

Komut satırında MFA işlemlerini kolaylaştırmak için, vMFAd'ı eklemeyi / ayırmayı ve MFA oturumlarını başlatmayı ve yönetmeyi kolaylaştıran bir dizi bas komut dosyası ve dikkatle hazırlanmış bir MFA uygulama politikası örneği oluşturdum. MacOS ve Linux türevleri üzerinde çalışırlar, ancak muhtemelen Windows'ta (test edilmemiş) çalışmamaktadırlar.

— Ville
kaynak

0

Görünüşe göre öyle değil. IAM hesapları için MFA'nın isteğe bağlı olduğu anlaşılıyor, ancak resmi bir cevap almak için AWS Destek Forumları'na göndermeyi en iyi şekilde yapabilirsiniz.

— Tom O'Connor
kaynak

Bağlantı için teşekkürler, ancak MFA etkinleştirildiğinde ne zaman gerekli olacağı konusunda farklı bir soruyu yanıtlar. Bu soru, etkinleştirmenin uygulanıp uygulanmayacağı ile ilgilidir.

— Joe,

0

Genel olarak AWS API multifactoru için bir kaç düşünceyi belgeltik (YHS) kullanmak için geliştirdiğimiz bazı özel takımların ( https://github.com/kreuzwerker/awsu ) dokümantasyonundaki genel şartları (nereye ekleyeceğinizi, sonuçları vb.) Belgelendirdik. TOTP belirteçleri için kaynak olarak. Bu, roller ve uzun vadeli kimlik bilgileri + oturum belirteçleriyle çalışmayı oldukça kolaylaştırır.

— esnemek
kaynak

0

Kabul edilen cevap artık geçerli değil AFAICT. AWS, buradaki öğretici makalesinde bunu nasıl yapabileceğinizi belgelemiştir:

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html

Bunu yeni AWS Hesabım ve Ekibim için izledim ve çok iyi çalıştı.

— Gowie47
kaynak