根据AWS 文档,我向我的组管理员附加了一项策略,以强制该组的权限仅适用于启用了 MFA 的用户
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BlockMostAccessUnlessSignedInWithMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:ListVirtualMFADevices",
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ResyncMFADevice",
"iam:GetAccountSummary",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
我的问题是我有一个属于该管理员组的机器人(我们称之为arn:aws:iam::12345678:user/my-bot )并且它没有启用 MFA。到目前为止,我想到了这两个选项
- 将我的机器人放在不存在 EnforceMFA 策略的不同组中(重复代码)
- 不知何故为机器人启用 MFA(虽然我不喜欢那个选项)
有没有办法可以在我的 EnforceMFA 策略中添加一个例外/条件,上面写着“对于这个特定用户,不要应用这个拒绝”)
提前致谢