Автоматизація активації пристрою MFA для користувачів IAM

9

Я створюю більше 20 користувачів IAM і хочу включити віртуальний MFA-пристрій для них. Чи є спосіб, коли я можу це зробити відразу для всіх або будь-яким способом автоматизувати це завдання? Я хочу зробити обов'язковим для всіх користувачів IAM використовувати MFA і без їх налаштування вони не можуть продовжувати.

amazon-web-services  amazon-iam 
Єлешвар
джерело
dmourati
1
@dmourati - це не лише відповідь, якщо ви надали це посилання та короткий підсумок вказування Condition "aws:MultiFactorAuthAge": "true"на використання в політиці?
GrzegorzOledzki
Можливо, але це було все, на що я мав час і хотів дати вказівник у правильному напрямку.
dmourati

Відповіді:

1

Моє рішення для цього - процес двоетапної активації для нових користувачів:

  1. Створіть у користувача достатньо прав для зміни свого пароля та оновлення МЗС. Скажіть їм, що їм потрібно оновити МЗС. Вони ще не потрапляють у свої "справжні" групи.
  2. Майте сценарій опитування, який виконується періодично. Якщо у користувача активовано МЗС, він додається до визначених груп.

Користувачі, які не оновлюють МЗС, не зможуть зробити нічого. Коли вони скаржаться, надішліть їм нагадування про те, як оновити свій МЗС. Коли вони повернуться з ОК, я це зробив, запустіть сценарій №2.

sysadmin1138
джерело
-2

Що стосується наступної сторінки, схоже, відповідає вашій проблемі: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html

Піксель
джерело
Це відповідь лише для посилань. Будь ласка, додайте принаймні резюме рішення, оскільки посилання гниють.
sysadmin1138
Вибачте за це ... Ну, я зрозумів, що я хотів би зробити це простим, я би скористався командою powershell - New-IAMVirtualMFADevice та сценарієм, що для кожного з користувачів
Pixel
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.