是否可以在 AWS 上在组级别执行 MFA(例如,对于所有具有管理员权限的人)?
Is it possible on AWS to enforce MFA on group level (e.g. for all with administrator rights)?
是否可以创建 IAM 规则或 SCP(组织规则)来对特定组中的所有用户或具有特定权限(例如管理员或超级用户)的所有用户实施 MFA?
据我所知,您可以将拒绝部分附加到任何策略或创建拒绝策略并将其附加到任何组。
例如,您有 "Administrators" 组添加了许多角色以及 "MultifactorAuthForce" 策略:
"MultifactorAuthForce" 示例:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllWithoutMFA",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
更新:
刚刚在我的帐户上进行了测试,该政策有效。创建了一个没有 MFA 的帐户,添加了密码并分配给上面的组。当以该用户身份登录时,我被拒绝对所有资源执行所有操作。之后,我将 MFA 添加到用户并再次登录。我能够看到资源。
是否可以创建 IAM 规则或 SCP(组织规则)来对特定组中的所有用户或具有特定权限(例如管理员或超级用户)的所有用户实施 MFA?
据我所知,您可以将拒绝部分附加到任何策略或创建拒绝策略并将其附加到任何组。
例如,您有 "Administrators" 组添加了许多角色以及 "MultifactorAuthForce" 策略:
"MultifactorAuthForce" 示例:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllWithoutMFA",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
更新: 刚刚在我的帐户上进行了测试,该政策有效。创建了一个没有 MFA 的帐户,添加了密码并分配给上面的组。当以该用户身份登录时,我被拒绝对所有资源执行所有操作。之后,我将 MFA 添加到用户并再次登录。我能够看到资源。