Automatyzacja aktywacji urządzenia MFA dla użytkowników IAM

9

Tworzę ponad 20 użytkowników IAM i chcę dla nich włączyć wirtualne urządzenie MFA. Czy jest jakikolwiek sposób, aby to zrobić od razu dla nich wszystkich, czy też jakiś sposób na zautomatyzowanie tego zadania? Chcę, aby wszyscy użytkownicy IAM mieli obowiązek korzystania z MFA i bez ich skonfigurowania nie mogą kontynuować.

amazon-web-services amazon-iam

— Jeleshwar
źródło

aws.amazon.com/blogs/security/…

— dmourati,

1

@dmourati - czy nie jest to tylko odpowiedź, jeśli podasz ten link i krótkie podsumowanie wskazujące na Condition "aws:MultiFactorAuthAge": "true"zastosowanie w polityce?

— GrzegorzOledzki

Być może, ale to było wszystko, na co miałem czas i chciałem dać wskazówkę we właściwym kierunku.

— dmourati,

1

Moim rozwiązaniem jest dwuetapowy proces aktywacji dla nowych użytkowników:

Utwórz użytkownika z wystarczającymi uprawnieniami, aby zmienić hasło i zaktualizować MFA. Powiedz im, że muszą zaktualizować MFA. Nie wchodzą jeszcze w swoje „prawdziwe” grupy.
Mieć skrypt odpytywania, który działa okresowo. Jeśli użytkownik ma aktywowane MFA, zostaje dodany do wyznaczonych grup.

Użytkownicy, którzy nie zaktualizują MFA, nie będą mogli nic zrobić ... Gdy złożą skargę, wyślij im przypomnienie, jak zaktualizować MFA. Kiedy wrócą z OK, zrobiłem to, uruchom skrypt nr 2.

— sysadmin1138
źródło

-2

Co z następującą stroną, wydaje się odpowiadać na Twój problem: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html

— Piksel
źródło

To jest odpowiedź tylko do linku, dodaj przynajmniej podsumowanie rozwiązania, ponieważ linki się gniją.

— sysadmin1138

Przepraszam za to. Cóż, jest to oczywiste i chciałbym, aby było proste, użyłbym polecenia powershell - New-IAMVirtualMFADevice i skryptu, który dla każdego z użytkowników

— Pixel