반응형
AWS IAM Policy - user MFA
■ 설명
user mfa 설정 권한 policy (처음 로그인 시 mfa 인증을 받지 않을 경우 사용)
MFA 이름은 본인의 id로 넣어야 함 (본인것만 생성 가능하도록 변수처리 되어 있음)
■ 로직
1. 해당 policy를 추가
2. MFA 인증 진행
3. 해당 policy 삭제
■ 코드
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowListActions",
"Effect": "Allow",
"Action": [
"iam:ListUsers",
"iam:ListVirtualMFADevices"
],
"Resource": "*"
},
{
"Sid": "AllowIndividualUserToManageTheirOwnMFA",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:ListMFADevices",
"iam:EnableMFADevice",
"iam:ResyncMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
},
{
"Sid": "BlockMostAccessUnlessSignedInWithMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
■ Reference
| 내용 | URL | |
| MFA guide | https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam_mfa-selfmanage.html | |
| - | - |
by mkdir-chandler
728x90
반응형
'Ops > AWS' 카테고리의 다른 글
| AWS IAM Policy - GameGauard invalidation (purge) (0) | 2023.09.06 |
|---|---|
| AWS IAM Policy - GameGuard default (0) | 2023.09.05 |
| AWS IAM Policy - lambda edge (0) | 2023.09.03 |
| AWS IAM Policy - file download from S3 on EC2 (0) | 2023.09.02 |
| AWS IAM Policy - CloudWatch log to S3 (0) | 2023.09.01 |
