Frage Können Sie MFA für AWS IAM-Konten benötigen?


Ist es möglich, die Aktivierung der Multi-Faktor-Authentifizierung (MFA) für bestimmte / alle IAM-Konten in Amazon Web Services zu verlangen?

Es gibt Optionen für Passwort-Anforderungen und es ist klar, wie man es seinem Account hinzufügen kann, aber es ist nicht klar, ob es eine Option gibt, um Benutzer dazu zu zwingen, MFA zu haben.


21
2018-02-27 21:19


Ursprung




Antworten:


Die Antwort ist ja, da ist. Durch die Verwendung einer Bedingung. Zum Beispiel für Admin Accounts:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

Es wird MFA sowohl für die Kennwortauthentifizierung als auch für die tokenbasierte Authentifizierung mithilfe der API erzwingen.


12
2018-02-12 09:50



Auf diese Weise würde es sowohl für den Console- als auch für den API-Zugriff erforderlich sein. wäre es möglich, dies zu verlangen? nur Konsolenzugriff? - jeffbyrnes
Keine Ahnung. Ich weiß, dass es für die API (CLI) ärgerlich ist, da MFA nicht gut unterstützt wird. BTW Ich sehe nicht wirklich den Punkt der Einrichtung einer stärkeren Sicherheit, wenn es eine Möglichkeit ist, es mit einer anderen Zugriffsmethode zu umgehen. - smad
@smad Ich denke, der Punkt wäre, dass Token-Anmeldeinformationen automatisch generiert und auf der Festplatte des Benutzers gespeichert werden, so dass der einzige Angriffsvektor vom Computer des Benutzers kommt, entweder über Malware, Diebstahl des Computers, usw. Das Passwort an Die andere Seite ist möglicherweise schwach oder wird auf anderen Sites wiederverwendet, daher gibt es einen zusätzlichen Angriffsvektor von Brute, der es zwingt oder es von einem Passwort-Dump von einer gehackten Site holt. Eine Passwort-Politik kann helfen, aber es ist schwer zu verhindern ppl z.B. mit einem Wörterbuch Wort mit nur die ich ersetzt durch eine 1 oder! - danny
@jeffbyrnes Wenn Sie einen Benutzer für MFA aktivieren, ist dies standardmäßig nur für den Konsolenzugriff aktiviert. Sie müssen dann eine IAM-Richtlinie wie diese verwenden, um zu definieren, welche API / CLI-Aktionen MFA erfordern, falls vorhanden. - SeanFromIT
Ich bin mir nicht sicher, ob das funktioniert - zumindest, wenn ich es nicht richtig angewendet habe! (als neue Richtlinie, die der Gruppe Administratoren zugewiesen ist). Sowohl neue als auch bestehende Administratoren meines Kontos können sich anmelden, ohne MFA eingerichtet zu haben. - Tim Malone


Nach ein bisschen Umschauen scheint die Antwort "irgendwie" zu sein. In IAM kann ein Administrator einen MFA für einen anderen IAM-Benutzer konfigurieren. Obwohl dies ein wenig schwierig sein kann, wenn Sie eine virtuelle MFA einrichten, ist es möglich. Wenn dem Benutzer keine Berechtigungen zum Aktualisieren / Entfernen von MFA erteilt wurden, ist dies effektiv erforderlich.

Während ich noch nicht die vollständige Liste der Aktionen ermittelt habe, die abgelehnt werden sollten (oder einfach nicht gewährt werden), dieser Beitrag scheint die Information zu haben, und ich werde diese Antwort aktualisieren, sobald ich es getestet habe.

[Aktualisieren]

Ich war in der Lage, Benutzer als Power-User zu konfigurieren (wodurch ich ihnen keinen Zugriff auf IAM-Funktionen gewährte, obwohl ich sicher bin, dass Sie detailliertere Informationen erhalten konnten) und implementierte ihren MFA mit ihnen. Mit dieser Methode können sie es nicht deaktivieren.


8
2018-02-28 14:59



Wissen Sie, ob es IAM-Benutzern möglich ist, MFA selbst einzurichten? - cavalcade
Wenn es so ist, habe ich den Weg nicht gefunden. - Joe
@MattTagg ja es ist möglich, siehe docs.aws.amazon.com/IAM/latest/UserGuide/... - dasil003


Scheinbar nicht.  Es scheint, dass MFA für IAM-Konten optional ist. Sie sollten jedoch am besten eine verbindliche Antwort an das AWS-Supportforum senden.


1
2018-02-27 21:47



Danke für den Link, aber er beantwortet eine andere Frage darüber, wann MFA benötigt wird, sobald es aktiviert ist. Bei dieser Frage geht es darum, ob die Aktivierung durchgesetzt werden kann. - Joe


Ja, Sie können MFA für IAM-Konten sowohl für die Webkonsole als auch für die awscli Befehlszeile. Tatsächlich ist es nicht möglich, MFA für die Webkonsole zuverlässig zu benötigen, während es für die Webkonsole nicht benötigt wird awscli Befehlszeile, weil beide die gleichen APIs treffen. Ich sage "zuverlässig", weil es bei komplexen IAM-Richtlinien möglich ist, einige zuzulassen awscli Vorgänge ohne MFA bei der Durchsetzung von MFA für die Webkonsole. Die Ergebnisse sind jedoch etwas unvorhersehbar, und außerdem sind die IAM-Schlüssel gleichermaßen, wenn nicht gefährlicher, ungeschützt. Ich empfehle, es für beide zu verlangen und dann möglicherweise ungeschützte Schlüssel für spezielle Anwendungen zu schaffen, bei denen MFA absolut kontraindiziert ist. Für automatisierte Prozesse wären Rollen generell die bessere Wahl.

Um MFA-Operationen in der Befehlszeile einfacher zu machen, habe ich erstellt eine Reihe von Bash-Skripten und ein sorgfältig gestaltetes MFA-Beispiel für Erzwingungsrichtlinien Dies erleichtert das An- / Abhängen von vMFAd und das Starten und Verwalten von MFA-Sitzungen. Sie arbeiten auf MacOS und Linux-Varianten, aber wahrscheinlich nicht auf Windows (nicht getestet).


0
2018-05-07 22:22





Wir dokumentierten a einige Überlegungen für AWS API Multifaktor im Allgemeinen (wo die Bedingungen hinzufügen, was die Implikationen usw. sind) in der Dokumentation für einige benutzerdefinierte Werkzeuge (https://github.com/kreuzwerker/awsu) entwickelten wir Yubikeys als Quelle für die TOTP-Token. Dies macht das Arbeiten mit Rollen und langfristigen Anmeldeinformationen + Sitzungstoken sehr einfach.


0
2017-09-17 08:42