Автоматизация активации устройства MFA для пользователей IAM

9

Я создаю более 20 пользователей IAM и хочу включить для них виртуальное устройство MFA. Есть ли способ, которым я могу сделать это сразу для всех из них или каким-либо образом автоматизировать эту задачу? Я хочу сделать обязательным для всех пользователей IAM использование MFA, и без настройки они не смогут продолжить работу.

amazon-web-services amazon-iam

— Yeleshwar
источник

aws.amazon.com/blogs/security/…

— dmourati

1

@ dmourati - разве это не ответ, если вы предоставили эту ссылку и краткий обзор того, Condition "aws:MultiFactorAuthAge": "true"что следует использовать в политиках?

— GrzegorzOledzki

Возможно, но это было все, на что у меня было время и я хотел дать указатель в правильном направлении.

— dmourati

1

Мое решение для этого - двухэтапный процесс активации для новых пользователей:

Создайте пользователя с достаточными правами для изменения его пароля и обновления его MFA. Скажите им, что они должны обновить свой МФА. Они еще не попадают в свои «настоящие» группы.
Есть скрипт опроса, который запускается периодически. Если у пользователя активирован MFA, он добавляется в назначенные им группы.

Пользователи, которые не обновляют свои МФА, смогут ... ничего не делать. Когда они жалуются, отправьте им напоминание о том, как обновить их МФА. Когда они вернутся с ОК, я сделал это, запустил скрипт №2.

— sysadmin1138
источник

-2

Как насчет следующей страницы, кажется, чтобы решить вашу проблему: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html

— пиксель
источник

Это ответ только для ссылок, пожалуйста, добавьте хотя бы краткое описание решения, так как ссылки гниют.

— sysadmin1138

Извините за это .. Ну, это само за себя, и я хотел бы быть проще, я бы использовал команду powershell - New-IAMVirtualMFADevice и скрипт, который для каждого из пользователей

— Pixel