क्या आपको AWS IAM खातों के लिए MFA की आवश्यकता है?


23

क्या अमेज़ॅन वेब सेवाओं में विशिष्ट / सभी IAM खातों के लिए मल्टी-फैक्टर ऑथेंटिकेशन (MFA) को सक्षम करना संभव है?

पासवर्ड आवश्यकताओं के लिए विकल्प हैं और यह स्पष्ट है कि कोई इसे किसी के खाते में कैसे जोड़ सकता है, लेकिन यह स्पष्ट नहीं है कि उपयोगकर्ताओं को एमएफए के लिए बाध्य करने का विकल्प है या नहीं।


IAM नीति जिसमें अधिकांश कार्रवाई के लिए MFA की आवश्यकता होती है: docs.aws.amazon.com/IAM/latest/UserGuide/…
साइमन वुडसाइड

जवाबों:


13

जवाब है हां, है। एक शर्त का उपयोग करके। उदाहरण के लिए, व्यवस्थापक खातों के लिए:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

यह एपीआई का उपयोग करके पासवर्ड प्रमाणीकरण और टोकन-आधारित प्रमाणीकरण दोनों के लिए एमएफए लागू करेगा।


6
इसे इस तरह से करना कंसोल और एपीआई दोनों के लिए इसकी आवश्यकता होगी; क्या केवल कंसोल एक्सेस के लिए इसकी आवश्यकता संभव होगी ?
jeffbyrnes

कोई जानकारी नहीं। मुझे पता है कि यह एपीआई (सीएलआई) के लिए कष्टप्रद है क्योंकि एमएफए अच्छी तरह से समर्थित नहीं है। BTW मैं वास्तव में एक मजबूत सुरक्षा स्थापित करने के बिंदु को नहीं देखता अगर यह एक और एक्सेस विधि का उपयोग करके इसे बायपास करने का एक तरीका है।
smad

3
@ मुझे लगता है कि बिंदु यह होगा कि टोकन क्रेडेंशियल ऑटो-जनरेट किए जाएंगे और उपयोगकर्ता की हार्ड-ड्राइव पर संग्रहीत किए जाएंगे, इसलिए एकमात्र हमला वेक्टर उपयोगकर्ता के कंप्यूटर से मिल रहा है, या तो मैलवेयर के माध्यम से, कंप्यूटर चोरी करना, आदि पर पासवर्ड। दूसरा हाथ कमजोर हो सकता है या अन्य साइटों पर फिर से इस्तेमाल किया जा सकता है, इसलिए वहाँ एक अतिरिक्त हमला वेक्टर जानवर-इसे मजबूर करने या इसे हैक किए गए साइट से पासवर्ड डंप से प्राप्त करने का है। एक पासवर्ड नीति मदद कर सकती है, लेकिन ppl को रोकना मुश्किल है जैसे कि एक शब्दकोश शब्द का उपयोग करके जिसे मैंने केवल 1 या 1 के साथ बदल दिया है!
डैनी

@Jffbyrnes जब आप MFA के लिए किसी उपयोगकर्ता को सक्षम करते हैं, तो यह डिफ़ॉल्ट रूप से केवल कंसोल एक्सेस के लिए सक्षम होता है। फिर आपको इस तरह IAM नीति का उपयोग करना होगा ताकि यह परिभाषित किया जा सके कि API / CLI क्रियाओं को MFA की आवश्यकता है, यदि कोई हो।
सीनफ्रॉमिट

1
मुझे यकीन नहीं है कि यह अब और काम कर रहा है - कम से कम, जब तक कि मैंने इसे सही तरीके से लागू नहीं किया है! (एक नई नीति के रूप में, प्रशासक समूह को सौंपा गया है)। मेरे खाते के नए और मौजूदा दोनों प्रशासक MFA की स्थापना किए बिना लॉगिन करने में सक्षम हैं।
टिम मालोन

8

चारों ओर देखने के बाद, यह प्रतीत होता है कि उत्तर "तरह का" है। IAM में, एक व्यवस्थापक किसी अन्य IAM उपयोगकर्ता के लिए MFA कॉन्फ़िगर कर सकता है। यद्यपि यह थोड़ा मुश्किल हो सकता है यदि आप एक आभासी एमएफए स्थापित कर रहे हैं, तो यह संभव है। फिर, यदि उपयोगकर्ता को अपने एमएफए को अपडेट / हटाने की अनुमति नहीं दी गई है, तो यह प्रभावी रूप से आवश्यक है।

हालांकि मैंने अभी तक उन कार्यों की पूरी सूची निर्धारित नहीं की है जिन्हें अस्वीकार किया जाना चाहिए (या बस नहीं दिया जाना चाहिए), इस पोस्ट में जानकारी है, और मैंने इसका परीक्षण करने के बाद इस उत्तर को अपडेट किया होगा।

[अद्यतन करें]

मैं उपयोगकर्ताओं को पावर-उपयोगकर्ता के रूप में सेटअप करने में सक्षम था (जिससे उन्हें IAM फ़ंक्शन तक पहुंच प्रदान नहीं कर रहा था, हालांकि मुझे यकीन है कि आप अधिक दानेदार प्राप्त कर सकते हैं), और उनके साथ अपने एमएफए को लागू कर सकते हैं। इस पद्धति का उपयोग करते हुए, वे इसे अक्षम करने में असमर्थ होंगे।


1
क्या आप जानते हैं कि IAM उपयोगकर्ताओं को MFA को स्वयं सेट करने देना संभव है?
घुड़सवार सेना

अगर यह है, मुझे रास्ता नहीं मिला है।
जो

2
@MattTagg हाँ यह संभव है, देखें docs.aws.amazon.com/IAM/latest/UserGuide/…
dasil003

1

हां, आपको IAM वेब कंसोल और awscliकमांड लाइन के लिए दोनों के लिए MFA की आवश्यकता हो सकती है । वास्तव में, awscliकमांड लाइन के लिए इसकी आवश्यकता नहीं होने पर वेब कंसोल के लिए एमएफए की आवश्यकता के लिए मज़बूती से करना संभव नहीं है , क्योंकि दोनों एक ही एपीआई से टकराते हैं। मैं कहता हूं 'मज़बूती से' क्योंकि जटिल IAM नीति के साथ awscliवेब कंसोल के लिए एमएफए लागू करते समय एमएफए के बिना कुछ संचालन की अनुमति देना संभव है । हालांकि, परिणाम कुछ अप्रत्याशित हैं, और इसके अलावा, IAM कुंजियाँ समान रूप से हैं यदि अधिक खतरनाक असुरक्षित नहीं हैं। मेरी सिफारिश दोनों के लिए इसकी आवश्यकता है, और फिर विशेष उपयोगों के लिए असुरक्षित कुंजियों का निर्माण करें जहां एमएफए बिल्कुल contraindicated है। स्वचालित प्रक्रियाओं के लिए भूमिकाएँ आम तौर पर एक बेहतर विकल्प होंगी।

कमांड लाइन पर एमएफए संचालन को आसान बनाने के लिए, मैंने बैश स्क्रिप्ट का एक सेट और सावधानी से तैयार की गई एमएफए प्रवर्तन नीति उदाहरण बनाया है जो वीएमएफएडी संलग्न करना / अलग करना और एमएफए सत्र शुरू करना और प्रबंधित करना आसान बनाता है। वे macOS और Linux वेरिएंट पर काम करते हैं, लेकिन संभवतः विंडोज पर (परीक्षण नहीं किया गया)।


0

जाहिरा तौर पर नहीं। ऐसा प्रतीत होता है कि IAM खातों के लिए MFA वैकल्पिक है, हालांकि आप आधिकारिक उत्तर के लिए AWS सहायता फ़ोरम में पोस्ट करने के लिए सबसे अच्छा करेंगे।


लिंक के लिए धन्यवाद, लेकिन यह एक अलग सवाल का जवाब देता है कि एमएफए को सक्षम होने के बाद कब आवश्यकता होगी। यह प्रश्न इस बारे में है कि क्या सक्षम किया जा सकता है।
जो

0

हमने कुछ कस्टम टूलिंग ( https://github.com/kreuzwerker/awsu ) के लिए दस्तावेज़ीकरण में AWS एपीआई मल्टीएक्टर के लिए कुछ विचार (सामान्य तौर पर स्थितियां, शर्तें क्या हैं, इसका क्या अर्थ है आदि) के लिए दस्तावेज तैयार किए थे। TOTP टोकन के लिए स्रोत के रूप में। यह भूमिकाओं और दीर्घकालिक क्रेडेंशियल्स + सत्र टोकन के साथ बहुत आसान काम करता है।


0

स्वीकृत उत्तर अब AFAICT मान्य नहीं है। AWS ने प्रलेखित किया है कि आप यहां उनके ट्यूटोरियल लेख के माध्यम से यह कैसे कर सकते हैं:

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html

मैंने अपने नए AWS अकाउंट और टीम का अनुसरण किया और इसने बहुत अच्छा काम किया।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.