AWS是否可以在组级别上强制执行MFA(例如,对于拥有管理员权限的所有人)?
是否可以创建IAM规则或SCP(组织规则)以对特定组中的所有用户或具有某些权限(例如管理员或超级用户)强制执行MFA?
1 个答案:
答案 0 :(得分:2)
据我所知,您可以将拒绝部分附加到任何策略或创建拒绝策略并将其附加到任何组。
例如,你有"管理员"添加了许多角色的组以及" MultifactorAuthForce"策略:
" MultifactorAuthForce"的示例:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllWithoutMFA",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
<强>更新 只是在我的帐户上测试它并且策略有效。创建了一个没有MFA的帐户,添加了密码并分配给上面的组。当以该用户身份登录时,我被拒绝了所有资源的所有操作。之后,我将MFA添加到用户并再次登录。我能够看到资源。
相关问题
- 可执行文件是否可以请求管理员权限? (Windows 7的)
- 是否可以在没有域管理员权限的情况下部署CRM 2011?
- 打开第二张表格时是否可以要求管理员权限?
- 为AWS控制台登录强制执行MFA,但不为API调用强制执行
- 是否可以为所有服务授予另一个AWS用户登录管理员访问权限?
- 是否可以在AWS上为所有用户强制执行MFA?
- CFEXECUTE指定它以管理员权限
- AWS是否可以在组级别上强制执行MFA(例如,对于拥有管理员权限的所有人)?
- 是否可以仅对启用了MFA的AWS Cognito用户验证密码?
- AWS Enforce MFA策略是否必须使用MFA策略AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsing?
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?