Как разрешить пользователям IAM настраивать свои собственные виртуальные устройства MFA

Question

Как разрешить пользователям IAM настраивать свои собственные виртуальные устройства MFA

Я хочу, чтобы мои пользователи IAM могли настраивать свои собственные устройства MFA через консоль. Существует ли единая политика, которую я могу использовать для достижения этой цели?

Пока что я могу добиться этого с помощью ряда политик IAM, позволяя им перечислять все устройства mfa и составлять список пользователей (чтобы они могли оказаться в консоли IAM и...

Я в основном ищу более прямой способ контролировать это.

Я должен добавить, что мои пользователи IAM являются доверенными пользователями, поэтому мне не нужно (хотя это будет довольно неплохо) заблокировать их до минимально возможного, поэтому, если они могут видеть список всех пользователей, это нормально.

3

amazon-web-services amazon-iam

Источник

Ali 07 июн '14 в 16:04

2 ответа

Другие вопросы по тегам amazon-web-services amazon-iam

philfreo 30 апр '16 в 02:21 2016-04-30 02:21 · Answer 1 · 2016-04-30 02:21

Документы AWS предоставляют пример того, как это сделать в разделе "Разрешить пользователям управлять только своими собственными виртуальными устройствами MFA":

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_delegate-permissions_examples.html

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUsersToCreateEnableResyncTheirOwnVirtualMFADevice",
      "Effect": "Allow",
      "Action": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:ResyncMFADevice"
      ],
      "Resource": [
        "arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}",
        "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
      ]
    },
    {
      "Sid": "AllowUsersToDeactivateDeleteTheirOwnVirtualMFADevice",
      "Effect": "Allow",
      "Action": [
        "iam:DeactivateMFADevice",
        "iam:DeleteVirtualMFADevice"
      ],
      "Resource": [
        "arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}",
        "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
      ],
      "Condition": {
        "Bool": {
          "aws:MultiFactorAuthPresent": true
        }
      }
    },
    {
      "Sid": "AllowUsersToListMFADevicesandUsersForConsole",
      "Effect": "Allow",
      "Action": [
        "iam:ListMFADevices",
        "iam:ListVirtualMFADevices",
        "iam:ListUsers"
      ],
      "Resource": "*"
    }
  ]
}

Чтобы найти идентификационный номер своей учетной записи AWS для подключения в Консоли управления AWS, нажмите "Поддержка" на панели навигации в правом верхнем углу, а затем нажмите "Центр поддержки". Ваш идентификатор учетной записи, зарегистрированной в данный момент, отображается под меню "Поддержка".

См. Также https://blogs.aws.amazon.com/security/post/Tx2SJJYE082KBUK/How-to-Delegate-Management-of-Multi-Factor-Authentication-to-AWS-IAM-Users

Steffen Opel 08 июн '14 в 13:12 2014-06-08 13:12 · Answer 2 · 2014-06-08 13:12

[...] есть ли единственная политика, которую я могу использовать для достижения этой цели?...
Пока я могу достичь этого с помощью ряда политик IAM, [...]
Я в основном ищу более прямой способ контролировать это.

Боюсь, что ваш текущий подход является единственным осуществимым на данный момент, см. Мой соответствующий ответ на более общий вопрос. Как я могу дать пользователю AWS IAM разрешения на управление его собственными учетными данными безопасности?, который относится к другому, касающемуся доступа IAM к API REST EC2? в свою очередь, где я исследую "Самостоятельное управление учетными данными IAM" в целом.