Puoi richiedere l'AMF per gli account AWS IAM?


23

È possibile richiedere l'autenticazione a più fattori (MFA) abilitata per specifici / tutti gli account IAM nei servizi Web Amazon?

Esistono opzioni per i requisiti di password ed è chiaro come si può scegliere di aggiungerlo al proprio account, ma non è chiaro se esiste un'opzione per forzare gli utenti ad avere MFA.


Politica IAM che richiede l'AMF per la maggior parte delle azioni: docs.aws.amazon.com/IAM/latest/UserGuide/…
Simon Woodside,

Risposte:


13

La risposta è sì, c'è. Usando una condizione. Ad esempio, per gli account amministratore:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

Applicherà MFA sia per l'autenticazione con password sia per l'autenticazione basata su token utilizzando l'API.


6
Farlo in questo modo lo richiederebbe sia per l'accesso alla console che all'API; sarebbe possibile richiederlo solo per l' accesso alla console?
jeffbyrnes,

Nessuna idea. So che è fastidioso per l'API (CLI) poiché MFA non è ben supportato. A proposito, non vedo davvero il punto di impostare una sicurezza più forte se è un modo per aggirarlo usando un altro metodo di accesso.
smad

3
@smad Penso che il punto sarebbe che le credenziali del token verranno generate automaticamente e memorizzate sul disco rigido dell'utente, quindi l'unico vettore di attacco è ottenerlo dal computer dell'utente, tramite malware, rubare il computer, ecc. La password su d'altra parte potrebbe essere debole o riutilizzato su altri siti, quindi c'è un ulteriore vettore di attacco che lo costringe a forzare brutalmente o a ottenerlo da un dump di password da un sito compromesso. Una politica di password può aiutare, ma è difficile prevenire ppl, ad esempio usando una parola del dizionario con solo l'ho sostituito con un 1 o!
Danny,

@jeffbyrnes Quando si abilita un utente per MFA, questo è abilitato di default solo per l'accesso alla console. È quindi necessario utilizzare i criteri IAM in questo modo per definire quali azioni API / CLI richiedono MFA, se presenti.
SeanFromIT,

1
Non sono sicuro che funzioni più, almeno, a meno che non lo abbia applicato correttamente! (come una nuova politica, assegnata al gruppo Amministratori). Sia gli amministratori nuovi che quelli esistenti sul mio account sono in grado di accedere senza aver configurato MFA.
Tim Malone,

8

Dopo un po 'di guardarsi intorno, sembra che la risposta sia "una specie di". In IAM, un amministratore può configurare un MFA per un altro utente IAM. Anche se questo può essere un po 'complicato se stai configurando un AMF virtuale, è possibile. Quindi, se all'utente non sono state concesse le autorizzazioni per aggiornare / rimuovere il proprio MFA, è effettivamente richiesto.

Anche se non ho ancora determinato l'elenco completo delle azioni che dovrebbero essere negate (o semplicemente non concesse), questo post sembra avere le informazioni e aggiornerò questa risposta una volta verificata.

[Aggiornare]

Sono stato in grado di configurare gli utenti come utenti esperti (quindi non concedere loro l'accesso a funzioni IAM, anche se sono sicuro che potresti ottenere più granulare) e implementare il loro AMF con loro. Usando questa metodologia, non saranno in grado di disabilitarla.


1
sai se è possibile consentire agli utenti IAM di configurare autonomamente MFA?
cavalcata,

Se lo è, non ho trovato la strada.
Joe,

2
@MattTagg sì, è possibile, vedi docs.aws.amazon.com/IAM/latest/UserGuide/…
dasil003

1

Sì, è possibile richiedere MFA per gli account IAM sia per la console Web sia per la awscliriga di comando. In effetti, non è possibile richiedere in modo affidabile MFA per la console Web senza richiederlo per la awscliriga di comando, poiché entrambi raggiungono le stesse API. Dico "in modo affidabile" perché con una complessa politica IAM è possibile consentire alcune awsclioperazioni senza MFA, applicando al contempo MFA per la console Web. Tuttavia, i risultati sono alquanto imprevedibili e, inoltre, le chiavi IAM sono ugualmente se non più pericolose e non protette. La mia raccomandazione è di richiederlo per entrambi, e quindi forse creare chiavi non protette per usi speciali in cui MFA è assolutamente controindicato. Per i processi automatizzati i ruoli sarebbero generalmente una scelta migliore.

Per semplificare le operazioni di MFA sulla riga di comando, ho creato un set di script bash e un esempio di politica di applicazione MFA attentamente predisposto che semplifica il collegamento / scollegamento di vMFAd e l'avvio e la gestione delle sessioni MFA. Funzionano su varianti macOS e Linux, ma probabilmente non su Windows (non testato).


0

Apparentemente no. Sembra che MFA per gli account IAM sia facoltativo, anche se faresti meglio a pubblicare post nei forum di supporto AWS per una risposta autorevole.


Grazie per il link, ma risponde a una domanda diversa su quando verrà richiesto l'MFA una volta abilitato. Questa domanda riguarda se è possibile applicare l'abilitazione.
Joe,

0

Abbiamo documentato alcune considerazioni sul multifattore API AWS in generale (dove aggiungere le condizioni, quali sono le implicazioni ecc.) Nella documentazione per alcuni strumenti personalizzati ( https://github.com/kreuzwerker/awsu ) che abbiamo sviluppato per l'utilizzo di Yubikeys come fonte per i token TOTP. Ciò rende piuttosto semplice lavorare con ruoli e credenziali a lungo termine + token di sessione.


Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.