Automatyzacja aktywacji urządzenia MFA dla użytkowników IAM

9

Tworzę ponad 20 użytkowników IAM i chcę dla nich włączyć wirtualne urządzenie MFA. Czy jest jakikolwiek sposób, aby to zrobić od razu dla nich wszystkich, czy też jakiś sposób na zautomatyzowanie tego zadania? Chcę, aby wszyscy użytkownicy IAM mieli obowiązek korzystania z MFA i bez ich skonfigurowania nie mogą kontynuować.

amazon-web-services amazon-iam Jeleshwar
źródło
aws.amazon.com/blogs/security/…
dmourati,
1
@dmourati - czy nie jest to tylko odpowiedź, jeśli podasz ten link i krótkie podsumowanie wskazujące na Condition "aws:MultiFactorAuthAge": "true"zastosowanie w polityce?
GrzegorzOledzki
Być może, ale to było wszystko, na co miałem czas i chciałem dać wskazówkę we właściwym kierunku.
dmourati,

Odpowiedzi:

1

Moim rozwiązaniem jest dwuetapowy proces aktywacji dla nowych użytkowników:

  1. Utwórz użytkownika z wystarczającymi uprawnieniami, aby zmienić hasło i zaktualizować MFA. Powiedz im, że muszą zaktualizować MFA. Nie wchodzą jeszcze w swoje „prawdziwe” grupy.
  2. Mieć skrypt odpytywania, który działa okresowo. Jeśli użytkownik ma aktywowane MFA, zostaje dodany do wyznaczonych grup.

Użytkownicy, którzy nie zaktualizują MFA, nie będą mogli nic zrobić ... Gdy złożą skargę, wyślij im przypomnienie, jak zaktualizować MFA. Kiedy wrócą z OK, zrobiłem to, uruchom skrypt nr 2.

sysadmin1138
źródło
-2

Co z następującą stroną, wydaje się odpowiadać na Twój problem: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html

Piksel
źródło
To jest odpowiedź tylko do linku, dodaj przynajmniej podsumowanie rozwiązania, ponieważ linki się gniją.
sysadmin1138
Przepraszam za to. Cóż, jest to oczywiste i chciałbym, aby było proste, użyłbym polecenia powershell - New-IAMVirtualMFADevice i skryptu, który dla każdego z użytkowników
Pixel