Ви можете вимагати МЗС для акаунтів AWS IAM?

23

Чи можливо вимагати включення багатофакторної автентифікації (MFA) для конкретних / всіх облікових записів IAM в веб-службах Amazon?

Існують варіанти вимог до пароля, і зрозуміло, як можна вибрати його до свого облікового запису, але незрозуміло, чи є можливість змусити користувачів мати MFA.

amazon-web-services amazon-iam

— Джо
джерело

Політика IAM, яка вимагає МЗС для більшості дій: docs.aws.amazon.com/IAM/latest/UserGuide/…

— Саймон Вудсайд,

13

Відповідь - так, є. Використовуючи умову. Наприклад, для облікових записів адміністратора:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

Він застосовуватиме MFA як для автентифікації пароля, так і для аутентифікації на основі лексем за допомогою API.

— мазати
джерело

6

Якщо це зробити так, це вимагатиме і доступу до консолі, і API; чи можна було б вимагати його лише для доступу до консолі?

— jeffbyrnes

Не маю уявлення. Я знаю, що це прикро для API (CLI), оскільки MFA недостатньо підтримується. До речі, я не бачу сенсу налаштовувати більш міцну безпеку, якщо це спосіб її обійти за допомогою іншого методу доступу.

— smad

3

@smad Я думаю, що сенс полягатиме в тому, що облікові дані маркера будуть автоматично генеровані та зберігатись на жорсткому диску користувача, тому єдиним вектором атаки є отримання його з комп'ютера користувача, або через зловмисне програмне забезпечення, викрадання комп'ютера тощо. Пароль на з іншого боку може бути слабким або повторно використовуватися на інших сайтах, тому є додатковий вектор атаки грубої форсування або отримання його з дампів пароля з злому сайту. Політика щодо паролів може допомогти, але важко попередити використання ppl, наприклад, використання словникового слова з лише i, заміненого на 1 або!

— danny

@jeffbyrnes Коли ви вмикаєте користувача для MFA, це за замовчуванням увімкнено лише для доступу до консолі. Тоді вам доведеться використовувати подібну політику IAM, щоб визначити, які дії API / CLI вимагають MFA, якщо такі є.

— SeanFromIT

1

Я не впевнений, що це вже працює - принаймні, якщо тільки я не застосував його правильно! (як нова політика, призначена для групи адміністраторів). Як нові, так і наявні адміністратори мого облікового запису можуть увійти в систему, не встановлюючи МЗС.

— Тім Малоун

8

Трохи озирнувшись, виявляється, що відповідь - «своєрідна». В IAM адміністратор може налаштувати MFA для іншого користувача IAM. Хоча це може бути трохи складним, якщо ви налаштовуєте віртуальний МЗС, це можливо. Тоді, якщо користувачеві не було надано дозволу на оновлення / видалення своїх МЗС, це фактично потрібно.

Хоча я ще не визначив повний перелік дій, яким слід відмовити (або просто не було надано), ця публікація, схоже, містить інформацію, і я оновлю цю відповідь, як тільки я її перевірю.

[Оновлення]

Мені вдалося налаштувати користувачів як енергокористувачів (тим самим не надаючи їм доступу до функцій IAM, хоча я впевнений, що ви можете отримати більш детальну інформацію) та застосувати їх MFA з ними. Використовуючи цю методологію, вони не зможуть її відключити.

— Джо
джерело

1

чи знаєте ви, чи можливо дозволити користувачам IAM самостійно встановлювати MFA?

— кавалькада

Якщо це так, я не знайшов шляху.

— Джо

2

@MattTagg так, можна, дивіться docs.aws.amazon.com/IAM/latest/UserGuide/…

— dasil003

1

Так, ви можете вимагати MFA для облікових записів IAM як для веб-консолі, так і для awscliкомандного рядка. Насправді, неможливо надійно вимагати MFA для веб-консолі, не вимагаючи цього для awscliкомандного рядка, тому що обидва потрапляють на однакові API. Я кажу "надійно", тому що за допомогою складної політики IAM можна дозволити деякі awscliоперації без МЗС, одночасно застосовуючи MFA для веб-консолі. Однак результати дещо непередбачувані, і крім того, клавіші IAM однаково, якщо не більш небезпечні, незахищені. Моя рекомендація - вимагати її для обох, а потім, можливо, створити незахищені ключі для спеціальних цілей, де МЗС абсолютно протипоказано. Для автоматизованих процесів ролі взагалі були б кращим вибором.

Щоб полегшити операції з МЗС у командному рядку, я створив набір скриптів bash та ретельно продуманий приклад політики застосування МЗС, що полегшує додавання / від'єднання vMFAd та запуск та керування сеансами MFA. Вони працюють на версіях macOS та Linux, але, швидше за все, не в Windows (не тестуються).

— Віль
джерело

0

Мабуть, ні. Здається, що MFA для облікових записів IAM необов’язковий, хоча вам найкраще опублікувати на Форумах підтримки AWS для авторитетної відповіді.

— Том О'Коннор
джерело

Дякуємо за посилання, але він відповідає на інше питання про те, коли МЗС буде потрібно після його ввімкнення. Це питання стосується того, чи можна примусово використовувати.

— Джо

0

Ми задокументували декілька міркувань щодо мультифактора API AWS взагалі (куди додати умови, які наслідки тощо) в документації для деяких спеціальних інструментів ( https://github.com/kreuzwerker/awsu ), розроблених нами для використання Yubikeys як джерело для маркерів TOTP. Це робить роботу з ролями та довгостроковими обліковими записами + маркерами сеансу досить просто.

— позіхати
джерело

0

Прийнята відповідь більше не є дійсною AFAICT. AWS задокументував, як це можна зробити через їхню статтю підручника тут:

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html

Я переконався, що для мого нового облікового запису та команди AWS це було чудово.

— Gowie47
джерело