我正在为一个测试帐户设置MFA,并在此过程中学到一些东西。通过AWS Documentation for the default Policy JSON进行了自我解释,除了SID: AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA
1)我正在尝试找出需要该政策的哪些情况?
2)将其保留在强制MFA政策中是强制性还是最佳做法?我想强制执行一次MFA,并确保用户无法停用它(仅管理员可以)。我的想法有什么弊端吗?
感谢您的帮助!
答案 0 :(得分:1)
您提到的策略允许用户停用自己的MFA设备。而且只有在使用MFA进行培训时,他们才能这样做。
{
"Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
}
如果您希望每个用户决定是否使用MFA,可以,此政策是最佳做法。这不是强制性的。
但是,在您要强制执行此操作时,您不应允许普通用户拥有权限iam:DeactivateMFADevice
。只有管理员应该拥有它。
要执行MFA,重要的部分是条件:
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}