Automatisation de l'activation du périphérique MFA pour les utilisateurs IAM

9

Je crée plus de 20 utilisateurs IAM et je souhaite activer le périphérique MFA virtuel pour eux. Existe-t-il un moyen de le faire à la fois pour tous ou pour automatiser cette tâche? Je veux obliger tous les utilisateurs IAM à utiliser MFA et sans le configurer, ils ne peuvent pas continuer.

amazon-web-services amazon-iam Yeleshwar
la source
aws.amazon.com/blogs/security/…
dmourati
1
@dmourati - n'est-ce pas simplement une réponse si vous avez fourni ce lien et un résumé rapide de la mise en évidence à Condition "aws:MultiFactorAuthAge": "true"utiliser dans les politiques?
GrzegorzOledzki
Peut-être, mais c'était tout ce dont j'avais le temps et je voulais donner un pointeur dans la bonne direction.
dmourati

Réponses:

1

Ma solution est un processus d'activation en deux étapes pour les nouveaux utilisateurs:

  1. Créez l'utilisateur disposant de droits suffisants pour modifier son mot de passe et mettre à jour son MFA. Dites-leur qu'ils doivent mettre à jour leur MFA. Ils ne font pas encore partie de leurs «vrais» groupes.
  2. Avoir un script d'interrogation qui s'exécute périodiquement. Si un utilisateur a son MFA activé, il est ajouté à ses groupes désignés.

Les utilisateurs qui ne mettent pas à jour leur MFA ne pourront rien faire. Lorsqu'ils se plaignent, envoyez-leur le rappel de la mise à jour de leur MFA. Quand ils reviennent avec OK, je l'ai fait, exécutez le script # 2.

sysadmin1138
la source
-2

Qu'en est-il de la page suivante, semble répondre à votre problème: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html

Pixel
la source
Ceci est une réponse de lien uniquement, veuillez ajouter au moins un résumé de la solution car les liens se décomposent.
sysadmin1138
Désolé pour cela .. Eh bien, c'est explicite et j'aime rester simple, j'utiliserais la commande powershell - New-IAMVirtualMFADevice et le script que pour chacun des utilisateurs
Pixel