#amazon-web-services #amazon-cloudformation #multi-factor-authentication
#amazon-веб-сервисы #amazon-cloudformation #многофакторная аутентификация
Вопрос:
У меня есть скрипт CloudFormation, который создает новых пользователей (с ролями, политиками и т. Д.).
Я надеюсь убедиться, что у новых пользователей включен MFA. В документах упоминается, что вы должны «подключить устройство MFA к пользователю IAM после создания MFA» (даже если есть Users свойство, как показано ниже?) но они указывают только на то, как это сделать в консоли и командной строке.
Type: AWS::IAM::VirtualMFADevice
Properties:
Users:
- !Ref user1
- !Ref user2
VirtualMfaDeviceName: Something
Может быть, эта операция не поддерживается в CloudFormation?
Ответ №1:
Устройство MFA — это то, чем пользователь управляет самостоятельно. Чтобы убедиться, что у пользователей включен MFA, вы можете использовать политику IAM. Этот пример политики от Amazon явно запрещает все разрешения для пользователей (даже если есть другие политики, разрешающие их), если у них не включен MFA. Единственное, что позволяет, — это управлять их собственным устройством MFA, чтобы они могли добавлять устройства для себя. Это сведения для пользователей, управляющих своими устройствами MFA.
Комментарии:
1. Это определенно один из способов добиться этого, спасибо @kgiannakakis, Который стремится правильно понять угол CloudFormation и как (или если даже !?) это предназначено для использования…
2. Вы правы в том, что документация для AWS ::IAM :: VirtualMFADevice, по крайней мере, неполная. Я не знаю, как вы могли бы это использовать, поскольку, похоже, нет способа установить начальную информацию. Однако для всего, что связано с созданием секретов, вы не можете сделать это только с формированием облака. Cloud Formation не может хранить защищенную информацию, поэтому вам нужно объединить ее с чем-то другим.
3. Да, я интегрировал CloudFormation с SecretsManager, без проблем: 1 Это был действительно полностью автоматизированный подход, который я искал и изо всех сил пытался понять, что я пропустил. Но, возможно, вы правы, и документы несколько неполны? Возможно, мне придется обратиться в службу поддержки AWS и попросить одного из их инженеров порекомендовать наилучший подход к автоматизированной подготовке. Большое спасибо за ваши комментарии.