AWS中国IAM用户强制使用MFA

最新推荐文章于 2024-11-02 04:25:47 发布
最新推荐文章于 2024-11-02 04:25:47 发布
阅读量593 收藏 7
点赞数 4
文章标签: aws 云计算 MFA
阿弥陀佛 欢迎流通 功德无量
本文链接:https://blog.csdn.net/fxtxz2/article/details/139917221
版权

问题

需要对IAM用户强制使用MFA方式进行登陆。

步骤

创建强制MFA登陆策略

找到策略创建入口,如下图:
创建策略入口
将下述内容json策略内容,复制到编辑器里面,具体内容和操作如下:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowViewAccountInfo",
			"Effect": "Allow",
			"Action": [
				"iam:GetAccountPasswordPolicy",
				"iam:ListVirtualMFADevices"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowManageOwnPasswords",
			"Effect": "Allow",
			"Action": [
				"iam:ChangePassword",
				"iam:GetUser"
			],
			"Resource": "arn:aws-cn:iam::*:user/${aws:username}"
		},
		{
			"Sid": "AllowManageOwnAccessKeys",
			"Effect": "Allow",
			"Action": [
				"iam:CreateAccessKey",
				"iam:DeleteAccessKey",
				"iam:ListAccessKeys",
				"iam:UpdateAccessKey",
				"iam:GetAccessKeyLastUsed"
			],
			"Resource": "arn:aws-cn:iam::*:user/${aws:username}"
		},
		{
			"Sid": "AllowManageOwnSigningCertificates",
			"Effect": "Allow",
			"Action": [
				"iam:DeleteSigningCertificate",
				"iam:ListSigningCertificates",
				"iam:UpdateSigningCertificate",
				"iam:UploadSigningCertificate"
			],
			"Resource": "arn:aws-cn:iam::*:user/${aws:username}"
		},
		{
			"Sid": "AllowManageOwnSSHPublicKeys",
			"Effect": "Allow",
			"Action": [
				"iam:DeleteSSHPublicKey",
				"iam:GetSSHPublicKey",
				"iam:ListSSHPublicKeys",
				"iam:UpdateSSHPublicKey",
				"iam:UploadSSHPublicKey"
			],
			"Resource": "arn:aws-cn:iam::*:user/${aws:username}"
		},
		{
			"Sid": "AllowManageOwnGitCredentials",
			"Effect": "Allow",
			"Action": [
				"iam:CreateServiceSpecificCredential",
				"iam:DeleteServiceSpecificCredential",
				"iam:ListServiceSpecificCredentials",
				"iam:ResetServiceSpecificCredential",
				"iam:UpdateServiceSpecificCredential"
			],
			"Resource": "arn:aws-cn:iam::*:user/${aws:username}"
		},
		{
			"Sid": "AllowManageOwnVirtualMFADevice",
			"Effect": "Allow",
			"Action": [
				"iam:CreateVirtualMFADevice"
			],
			"Resource": "arn:aws-cn:iam::*:mfa/*"
		},
		{
			"Sid": "AllowManageOwnUserMFA",
			"Effect": "Allow",
			"Action": [
				"iam:DeactivateMFADevice",
				"iam:EnableMFADevice",
				"iam:ListMFADevices",
				"iam:ResyncMFADevice"
			],
			"Resource": "arn:aws-cn:iam::*:user/${aws:username}"
		},
		{
			"Sid": "DenyAllExceptListedIfNoMFA",
			"Effect": "Deny",
			"NotAction": [
				"iam:CreateVirtualMFADevice",
				"iam:EnableMFADevice",
				"iam:GetUser",
				"iam:GetMFADevice",
				"iam:ListMFADevices",
				"iam:ListVirtualMFADevices",
				"iam:ResyncMFADevice",
				"sts:GetSessionToken"
			],
			"Resource": "*",
			"Condition": {
				"BoolIfExists": {
					"aws:MultiFactorAuthPresent": "false"
				}
			}
		}
	]
}

设置策略内容
设置策略名称和描述,审计完后,没问题就可以点击创建策略按钮了。具体如下图:
创建策略

设置用户组权限策略

强制MFA策略创建成功后,将该策略添加到需要使用到用户组中,即对添加了上述强制MFA策略的用户组用户启用强制MFA方式登录。添加步骤如下图:
添加策略入口
找到Force_MFA策略,进行添加如下图:
添加强制MFA策略

注意

新的用户,首次登录不要强制修改密码,不然这个策略一启用,这个新用户就永远在强制修改密码页面了。还有一点就是绑定MFA的过程中,千万不要刷新页面,如果中途刷新了页面,又没有完全走完绑定流程,最后就只能找管理员去帮新用户删MFA设备了。具体命令如下:
查找MFA设备命令:

$ aws iam list-virtual-mfa-devices | grep zyl
arn:aws:iam::xxx:mfa/zyl

删除MFA设备命令:

aws iam delete-virtual-mfa-device --serial-number arn:aws:iam::xxx:mfa/zyl

总结

强制MFA设备策略,虽然,安全了,但是AWS中国登录的页面,并不会引导新用户去MFA绑定页面进行绑定,而且中途中断的话,得拼命找管理员删设备。就这两点我觉得这个产品还有很大提升的地方。

参考

亚林瓜子
关注
AWS IAM 策略实现强制启用 MFA 详解
测试0901-1
12-30 955
背景在 AWS Identity and Access Management (IAM) 中,强制要求用户启用多因素身份验证 (MFA) 是一种有效的安全措施,特别是对于那些需要执行敏感操作的用户。本文介绍如何通过 IAM 策略来实现强制启用 MFA,并限制没有启用 MFA用户执行敏感 AWS 操作。IAM 策略示例以...
AWS中国云配置强制MFA策略后导致AWS CLI和IDEA中无法使用问题
fxtxz2的专栏
06-25 955
这样我们就可以使用自己的IAM用户代理各个环境的不同角色了。
如何为您的AWS账户设置多因素身份验证(MFA
最佳 Java 编程
06-12 1061
步骤1 : 转到AWS控制台并使用您的用户名密码登录。 第2步 : 转到服务-> IAM 第三步: 单击您的根帐户上的激活MFA 第四步 : 在步骤3中,点击屏幕上的管理MFA按钮。 步骤5: 单击分配MFA设备。选择虚拟MFA设备。 步骤6: 单击继续。 步骤7: 在手机上的Play商店中安装Google Authentica...
AWS 账户MFA启用流程
weixin_34404393的博客
02-02 2874
登陆AWS IAM服务,找到要启用MFA 多重身份验证的IAM用户。 选择“安全证书” 在下方找到“已分配MFA设备” “管理”下一步参考 [https://amazonaws-china.com/cn/iam/details/mfa/ AWS MFA 身份验证指南]在手机上安装Google 身份验证器 用移动设备扫描二维码(或手动输入下方密钥)之后将移动设备上生成的两个连续验证码输入下方“...
如何给AWS CLI启用MFA
南岛鹋
07-30 916
因为AWS CLI不存在控制台直接打开MFA功能,然后生活中遇见了,那么就记录一下吧 给IAM用户开启MFA 首先需要在IAM用户-安全证书,点击开启MFA 这里选择虚拟MFA应用程序,需要在手机上安装相应的软件。这里我选择了Authenticator,其他的可以去AWS文档查看。 打开软件,选择添加账户,选择其他账号,扫描二维码,然后就可以将虚拟MFA应用程序和该用户绑定了。然后输入软件中两个连续的认证代码即可激活该MFA功能。 这时候打开一个无痕浏览器验证一下,进入登陆页面 可以发现出现了MF.
terraform-aws-enforce-mfa:一个用于对AWS组和用户强制实施MFA的terraform模块
02-03
这个模块确保所有AWS IAM(Identity and Access Management)用户和组在进行敏感操作时必须使用MFA,从而提高安全性。 **一、Terraform与AWS IAM** Terraform AWS IAM模块用于创建和管理IAM资源,如用户、角色、组...
terraform-aws-mfa:在AWS账户上强制执行MFA
04-06
配置IAM策略以在访问AWS API时强制执行MFA。 此配置的策略还要求用户承担大多数API调用的角色。 创建以下资源: IAM策略要求所有API调用都需要有效的MFA安全令牌,但管理用户自己的IAM用户所需的API除外。 IAM组...
aws-iam-authenticator:一种使用AWS IAM凭证对Kubernetes集群进行身份验证的工具
01-30
AWS IAM还提供了许多不错的属性,例如带外审核跟踪(通过CloudTrail)和2FA / MFA实施。 如果要在AWS上构建Kubernetes安装程序,则适用于Kubernetes的AWS IAM Authenticator可以简化您的引导过程。 您无需以某种...
IAM 设置强制要求 MFA
大鹅的博客
09-23 513
下载 App 、安装后,注册账号,然后登录进入 App,找到类似“添加账号”的按钮。然后 App 上会出现扫描框 ,扫描 aws 页面上的二维码,然后在 aws 上填入连续的二次验证码。此时,所配置用户组内的 IAM User 再登录时,如果没有开启 MFA,则只能先去开启 MFA,才能执行其它操作。设置iam 权限,让所有未设置 MFAIAM User,登录后只能先设置 MFA,才能做其它操作。点击json选项卡,使用文档中提供的policy内容,替换editor中的内容。2 、设置用户组权限。
terraform-aws-iam:Terraform模块,可在AWS上创建IAM资源
01-30
以上代码示例展示了如何使用Terraform创建一个IAM用户、为其生成访问密钥,创建一个IAM组,将用户加入到组中,定义一个允许访问S3桶的策略,并将策略附加到组上。 【使用和自定义模块】 使用`terraform-aws-iam`...
aws 赋予用户 MFA 开通的权限
shenghuiping2001的专栏
04-01 549
今天碰到用户要求自己可以开通 MFA的权限,操作方式是:先创建policy: 在把这个policy 赋予这个user: 1: 先创建policy: { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowViewAccountInfo", "Effect": "Allow", "Action": "iam:ListVirtualMFADevic...
[AWS]根账户激活MFA多因子认证配置
深入一点你会更加快乐
03-07 2263
1、登录IAM控制台 https://console.aws.amazon.com 2、点击MFA管理 3、选择 “虚拟MFA设备” 4、下一步 5、下载MFA应用程序 https://amazonaws-china.com/cn/iam/details/mfa/ 6、下载好软件进行扫码识别就行 ...
在Amazon EC2 Linux主机上保障SSH安全
亚马逊云科技专栏
08-28 7151
曾经在初创企业当中工作过的朋友一定很清楚,建立客户信任是业务发展当中的关键性一步。时至今日,用户对于技术及安全性的理解越来越深入,他们希望供应商能够为数据提供严格保护,同时确保服务坚实可靠。除此之外,客户的心态往往反复无常,而且通常会在发现现有方案存在安全隐患时毫不犹豫地投向竞争对手的怀抱。为了避免这种情况的发生,大家采取的第一项举措应当是从基于AWS的业务流程下手,锁定指向Amazon EC2—
以更安全的方式管理AWS环境
weixin_56942817的博客
03-29 477
基础架构即代码 (IaC) 改变了我们管理云操作的方式,通过一个配置文件,按需推出基础架构变得无比轻松和快捷。 我们将深入探讨采用 AWS 任何即代码模型所带来的底层堆栈带来的好处和安全挑战。我们还将介绍为任何堆栈提供基线安全控制​ 的最小可行安全( MVS ) 方法。 ​ 拥抱Everything-as-Code模型 根据 IaC 的原则,组织越来越多地为技术堆栈的不同组件采用代码框架,包括安全性、策略、合规性、配置和操作。AWS 支持各种 as-code 框架,包括他们自己的 CloudForma
使用AWS Snowball迁移大量数据上云
九河云的创作之路
10-30 491
企业只需将数据上传到Snowball设备,随后将设备寄回AWSAWS会将数据直接导入到您的云存储中。然而,面对庞大的数据量,数据迁移常常成为一个棘手的问题。在传统的网络迁移中,数据传输速度往往受到带宽的限制,可能需要数周甚至数月的时间。此外,AWS还提供了跟踪和监控功能,让用户随时了解设备的状态,进一步增强了安全性。最后,AWS Snowball与其他AWS服务的兼容性,使得后续的数据管理和分析变得更加便捷。迁移到云后,企业可以利用AWS的强大功能,进行数据分析、机器学习等操作,从而实现更大的商业价值。
【亚马逊云】基于 AWS 使用CloudFormation快速部署 VMClarity 环境
宝耶需努力的技术分享博客
10-29 1079
VMClarity是一个开源工具,用于无代理检测和管理虚拟机软件物料清单 (SBOM) 和云安全威胁,例如漏洞、漏洞利用、恶意软件、rootkit、错误配置和泄露的机密。VMClarity具有针对主要云提供商(包括 AWS、Azure 和 GCP)的 VM 扫描功能。此外,VMClarity 还可用于扫描 Docker 资产。由于 VMClarity 会拍摄虚拟机的快照并根据这些快照启动单独的虚拟机,因此无需在要扫描的资产虚拟机上安装软件。
利用AWS服务轻松迁移数据上云
九河云的创作之路
10-31 634
无论是大规模的数据迁移,还是小规模的增量迁移,AWS都有相应的解决方案。AWS(Amazon Web Services)作为全球领先的云服务提供商,为企业提供了一系列高效、安全且经济的数据迁移解决方案,助力企业轻松实现上云目标。而AWS DMS则通过自动化迁移流程,减少了手动操作的时间和错误,确保数据迁移的高效进行。无论是初次使用AWS用户,还是有经验的技术专家,都能轻松上手,快速完成数据迁移。AWS提供了按需付费的模式,企业只需支付实际使用的资源,避免了高额的前期投资。想要了解更多的云领域知识请关注。
为什么选择AWS
九河云的创作之路
10-30 586
选择AWS的理由有很多:全球化的布局、多样化的产品与解决方案、可靠的安全性、强大的技术支持、以及弹性的价格方案。对于有不同需求的企业来说,AWS可以提供灵活多样的选择方案,让企业可以自由组合所需的产品,按需支付。而且,AWS的服务更新速度很快,始终保持技术的领先地位,让企业用户能够随时接触到最前沿的技术。AWS的全球化布局和服务网络可以说是它的最大亮点之一。这种遍布全球的网络可以让国内企业轻松实现全球扩展,无论是向海外用户提供更好的体验,还是支持出海业务的发展,AWS都能提供高效稳定的服务。
使用AWS Lambda构建无服务器应用程序
最新发布
qq_36287830的博客
11-02 540
AWS Lambda 是一种事件驱动的计算服务,允许开发者运行代码来响应各种事件,如 HTTP 请求、数据库更改、文件上传等。Lambda 函数可以根据需求自动扩展,按实际使用的资源计费,非常适合构建高可用、低成本的应用程序。通过本文,你已经学习了如何使用 AWS Lambda 构建无服务器应用程序。我们介绍了 AWS Lambda 的基本概念、创建 Lambda 函数、配置触发器、编写和测试代码、部署和监控 Lambda 函数等内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值