如何编写AWS IAM策略以在不启用AWS cli MFA的情况下执行MFA
如何编写AWS IAM策略以在不启用AWS cli MFA的情况下执行MFA
提问于 2021-01-29 23:37:43
我正在尝试找到最好的方法来编写AWS策略,这样用户就需要使用MFA进行控制台访问,但不需要使用MFA进行cli访问。基于这个亚马逊网络服务的documentation,看起来好像大多数策略都在使用aws:MultiFactorAuthPresent,我正在试图找到一种方法来编写一个检查类似aws:MultiFactorAuthEnabled的策略。这样,用户仍然可以使用cli,但前提是他们启用了多因子身份验证,而不是检查多因子身份验证是否存在。
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
}回答 1
Stack Overflow用户
发布于 2021-04-27 04:52:08
绕过此场景的最好方法是创建两个组services和users,并对users应用MFA策略。这样,我们仍然可以在没有MFA的情况下允许程序化访问,但对人类用户强制执行MFA。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/65957426
复制相关文章
相似问题
腾讯云开发者
