Автоматизация активации устройства MFA для пользователей IAM

9

Я создаю более 20 пользователей IAM и хочу включить для них виртуальное устройство MFA. Есть ли способ, которым я могу сделать это сразу для всех из них или каким-либо образом автоматизировать эту задачу? Я хочу сделать обязательным для всех пользователей IAM использование MFA, и без настройки они не смогут продолжить работу.

amazon-web-services amazon-iam Yeleshwar
источник
aws.amazon.com/blogs/security/…
dmourati
1
@ dmourati - разве это не ответ, если вы предоставили эту ссылку и краткий обзор того, Condition "aws:MultiFactorAuthAge": "true"что следует использовать в политиках?
GrzegorzOledzki
Возможно, но это было все, на что у меня было время и я хотел дать указатель в правильном направлении.
dmourati

Ответы:

1

Мое решение для этого - двухэтапный процесс активации для новых пользователей:

  1. Создайте пользователя с достаточными правами для изменения его пароля и обновления его MFA. Скажите им, что они должны обновить свой МФА. Они еще не попадают в свои «настоящие» группы.
  2. Есть скрипт опроса, который запускается периодически. Если у пользователя активирован MFA, он добавляется в назначенные им группы.

Пользователи, которые не обновляют свои МФА, смогут ... ничего не делать. Когда они жалуются, отправьте им напоминание о том, как обновить их МФА. Когда они вернутся с ОК, я сделал это, запустил скрипт №2.

sysadmin1138
источник
-2

Как насчет следующей страницы, кажется, чтобы решить вашу проблему: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html

пиксель
источник
Это ответ только для ссылок, пожалуйста, добавьте хотя бы краткое описание решения, так как ссылки гниют.
sysadmin1138
Извините за это .. Ну, это само за себя, и я хотел бы быть проще, я бы использовал команду powershell - New-IAMVirtualMFADevice и скрипт, который для каждого из пользователей
Pixel