Question

我正在为一个测试帐户设置MFA，并在此过程中学到一些东西。通过AWS Documentation for the default Policy JSON进行了自我解释，除了SID： AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA

1）我正在尝试找出需要该政策的哪些情况？

2）将其保留在强制MFA政策中是强制性还是最佳做法？我想强制执行一次MFA，并确保用户无法停用它（仅管理员可以）。我的想法有什么弊端吗？

感谢您的帮助！

Answer 1

您提到的策略允许用户停用自己的MFA设备。而且只有在使用MFA进行培训时，他们才能这样做。

    {
        "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
        "Effect": "Allow",
        "Action": [
            "iam:DeactivateMFADevice"
        ],
        "Resource": [
            "arn:aws:iam::*:mfa/${aws:username}",
            "arn:aws:iam::*:user/${aws:username}"
        ],
        "Condition": {
            "Bool": {
                "aws:MultiFactorAuthPresent": "true"
            }
        }
    }

如果您希望每个用户决定是否使用MFA，可以，此政策是最佳做法。这不是强制性的。

但是，在您要强制执行此操作时，您不应允许普通用户拥有权限iam:DeactivateMFADevice。只有管理员应该拥有它。

要执行MFA，重要的部分是条件：

        "Condition": {
            "Bool": {
                "aws:MultiFactorAuthPresent": "true"
            }
        }

AWS Enforce MFA策略是否必须使用MFA策略AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsing？

1 个答案: