Automatizando a ativação do dispositivo MFA para usuários do IAM

9

Estou criando mais de 20 usuários do IAM e quero ativar o dispositivo virtual MFA para eles. Existe alguma maneira de fazê-lo de uma só vez para todos eles ou alguma maneira de automatizar essa tarefa? Quero tornar obrigatório que todos os usuários do IAM usem o MFA e, sem configurá-lo, não poderão prosseguir.

amazon-web-services amazon-iam Yeleshwar
fonte
aws.amazon.com/blogs/security/…
dmourati
1
@dmourati - isso não é apenas uma resposta se você forneceu esse link e um resumo rápido de como Condition "aws:MultiFactorAuthAge": "true"deve ser usado nas políticas?
GrzegorzOledzki
Talvez, mas era só para isso que eu tinha tempo e queria apontar na direção certa.
dmourati

Respostas:

1

Minha solução para isso é um processo de ativação em duas etapas para novos usuários:

  1. Crie o usuário com direitos suficientes para alterar sua senha e atualizar seu MFA. Diga a eles que precisam atualizar o MFA. Eles ainda não entram em seus grupos 'reais'.
  2. Tenha um script de pesquisa executado periodicamente. Se um usuário tiver seu MFA ativado, ele será adicionado aos grupos designados.

Os usuários que não atualizarem seu MFA poderão fazer ... nada. Quando eles reclamarem, envie a eles o lembrete de como atualizar seu MFA. Quando eles voltarem com OK, eu o fiz, execute o script # 2.

sysadmin1138
fonte
-2

E a página a seguir, parece responder ao seu problema: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html

Pixel
fonte
Esta é uma resposta apenas para link; adicione pelo menos um resumo da solução à medida que os links apodrecem.
sysadmin1138
Desculpe por isso .. Bem, é auto-explicativo e eu gosto de simplificar, eu usaria o comando powershell - New-IAMVirtualMFADevice e script que para cada um dos usuários
Pixel