是否可以创建 IAM 规则或 SCP(组织规则)来为某个组中的所有用户或具有某些权限(例如管理员或高级用户)的所有用户强制执行 MFA?
问问题
594 次
1 回答
5
据我所知,您可以将拒绝部分附加到任何策略或创建拒绝策略并将其附加到任何组。
例如,您有添加了许多角色的“管理员”组以及“MultifactorAuthForce”策略:
“MultifactorAuthForce”示例:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllWithoutMFA",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
更新: 刚刚在我的帐户上进行了测试,该政策有效。创建一个没有 MFA 的帐户,添加密码并分配到上面的组。当以该用户身份登录时,我被拒绝对所有资源执行所有操作。之后,我将 MFA 添加到用户并再次登录。我能够看到资源。
于 2018-04-13T05:08:58.203 回答