Automatizzare l'attivazione del dispositivo MFA per gli utenti IAM


9

Sto creando più di 20 utenti IAM e desidero abilitare il dispositivo MFA virtuale per loro. Esiste un modo per farlo immediatamente per tutti o un modo per automatizzare questo compito? Voglio rendere obbligatorio per tutti gli utenti IAM l'uso di MFA e senza configurarlo non possono procedere.



1
@dmourati - non è solo una risposta se hai fornito quel link e un breve riassunto di Condition "aws:MultiFactorAuthAge": "true"come utilizzarlo nelle politiche?
GrzegorzOledzki,

Forse, ma era tutto ciò per cui avevo tempo e volevo dare un puntatore nella giusta direzione.
dmourati,

Risposte:


1

La mia soluzione a questo è un processo di attivazione in due passaggi per i nuovi utenti:

  1. Crea l'utente con diritti sufficienti per cambiare la sua password e aggiornare il suo AMF. Dì loro che devono aggiornare il loro AMF. Non entrano ancora nei loro "veri" gruppi.
  2. Avere uno script di polling che viene eseguito periodicamente. Se un utente ha attivato l'MFA, viene aggiunto ai gruppi designati.

Gli utenti che non aggiornano il loro AMF potranno fare ... nulla. Quando si lamentano, invia loro il promemoria su come aggiornare il loro AMF. Quando tornano con OK, l'ho fatto, eseguo lo script n. 2.


-2

Che dire della pagina seguente, sembra rispondere al tuo problema: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html


Questa è una risposta di solo collegamento, si prega di aggiungere almeno un riepilogo della soluzione mentre i collegamenti marciscono.
sysadmin1138

Scusatemi .. Beh, si spiega da sé e mi piace mantenerlo semplice, userei il comando powershell - New-IAMVirtualMFADevice e lo script che per ciascuno degli utenti
Pixel
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.