Können Sie MFA für AWS IAM-Konten anfordern?

Ist es möglich, die Aktivierung der Multi-Factor-Authentifizierung (MFA) für bestimmte / alle IAM-Konten in Amazon Web Services zu verlangen?

Es gibt Optionen für Passwortanforderungen und es ist klar, wie man es seinem Konto hinzufügen kann, aber es ist nicht klar, ob es eine Option gibt, um Benutzer zu zwingen, MFA zu haben.

Die Antwort ist ja, das gibt es. Durch die Verwendung einer Bedingung. Zum Beispiel für Administratorkonten:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

Es erzwingt MFA sowohl für die Kennwortauthentifizierung als auch für die tokenbasierte Authentifizierung mithilfe der API.

Nach einigem Hin und Her scheint die Antwort "irgendwie" zu sein. In IAM kann ein Administrator einen MFA für einen anderen IAM-Benutzer konfigurieren. Obwohl dies beim Einrichten eines virtuellen MFA etwas schwierig sein kann, ist dies möglich. Wenn dem Benutzer dann keine Berechtigungen zum Aktualisieren / Entfernen seiner MFA erteilt wurden, ist dies tatsächlich erforderlich.

Obwohl ich noch nicht die vollständige Liste der Aktionen festgelegt habe, die abgelehnt (oder einfach nicht gewährt) werden sollen, enthält dieser Beitrag anscheinend die Informationen, und ich werde diese Antwort aktualisieren, sobald ich sie getestet habe.

[Aktualisieren]

Ich war in der Lage, Benutzer als Hauptbenutzer einzurichten (ihnen dadurch keinen Zugriff auf IAM-Funktionen zu gewähren, obwohl ich mir sicher bin, dass Sie noch detaillierter werden können) und ihre MFA mit ihnen zu implementieren. Mit dieser Methode können sie es nicht deaktivieren.

Ja, Sie können MFA für IAM-Konten sowohl für die Webkonsole als auch für die awscliBefehlszeile anfordern. Tatsächlich ist es nicht möglich, MFA zuverlässig für die Webkonsole und nicht für die awscliBefehlszeile zu benötigen , da beide dieselben APIs verwenden. Ich sage "zuverlässig", weil es mit komplexen IAM-Richtlinien möglich ist, einige awscliVorgänge ohne MFA zuzulassen, während MFA für die Webkonsole erzwungen wird. Die Ergebnisse sind jedoch etwas unvorhersehbar, und außerdem sind die IAM-Schlüssel gleichermaßen, wenn nicht gefährlicher, ungeschützt. Ich empfehle, es für beide zu fordern und dann möglicherweise ungeschützte Schlüssel für spezielle Zwecke zu erstellen, bei denen MFA absolut kontraindiziert ist. Für automatisierte Prozesse wären Rollen im Allgemeinen die bessere Wahl.

Um die MFA-Operationen in der Befehlszeile zu vereinfachen, habe ich sie erstellt eine Reihe von Bash-Skripten und ein sorgfältig ausgearbeitetes Beispiel für eine MFA-Durchsetzungsrichtlinie erstellt , mit denen sich vMFAd problemlos anfügen / entfernen sowie MFA-Sitzungen starten und verwalten lassen. Sie funktionieren unter MacOS und Linux, wahrscheinlich jedoch nicht unter Windows (nicht getestet).

Scheinbar nicht. Es scheint, dass MFA für IAM-Konten optional ist, obwohl Sie am besten eine verbindliche Antwort in den AWS-Supportforen veröffentlichen.

In der Dokumentation zu einigen benutzerdefinierten Tools ( https://github.com/kreuzwerker/awsu ), die wir für die Verwendung von Yubikeys entwickelt haben, haben wir einige Überlegungen zu AWS API multifactor im Allgemeinen dokumentiert (wo die Bedingungen hinzugefügt werden sollen, welche Auswirkungen usw.) als Quelle für die TOTP-Token. Dies macht das Arbeiten mit Rollen und langfristigen Anmeldeinformationen + Sitzungstoken ziemlich einfach.

Die akzeptierte Antwort ist nicht mehr gültig AFAICT. AWS hat in seinem Tutorial-Artikel hier dokumentiert, wie Sie dies tun können:

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html

Ich habe das für mein neues AWS-Konto und -Team befolgt und es hat großartig funktioniert.