Automatisierung der MFA-Geräteaktivierung für IAM-Benutzer

9

Ich erstelle mehr als 20 IAM-Benutzer und möchte ein virtuelles MFA-Gerät für sie aktivieren. Gibt es eine Möglichkeit, dies für alle gleichzeitig zu tun oder diese Aufgabe zu automatisieren? Ich möchte, dass alle IAM-Benutzer MFA verwenden müssen, und ohne Einrichtung können sie nicht fortfahren.

amazon-web-services amazon-iam Yeleshwar
quelle
aws.amazon.com/blogs/security/…
dmourati
1
@dmourati - ist dies nicht nur eine Antwort, wenn Sie diesen Link und eine kurze Zusammenfassung des Hinweises Condition "aws:MultiFactorAuthAge": "true"zur Verwendung in Richtlinien angegeben haben?
GrzegorzOledzki
Vielleicht, aber das war alles, wofür ich Zeit hatte und einen Hinweis in die richtige Richtung geben wollte.
dmourati

Antworten:

1

Meine Lösung hierfür ist ein zweistufiger Aktivierungsprozess für neue Benutzer:

  1. Erstellen Sie den Benutzer mit genügend Rechten, um sein Kennwort zu ändern und seinen MFA zu aktualisieren. Sagen Sie ihnen, dass sie ihre MFA aktualisieren müssen. Sie kommen noch nicht in ihre "echten" Gruppen.
  2. Haben Sie ein Abfrageskript, das regelmäßig ausgeführt wird. Wenn ein Benutzer seine MFA aktiviert hat, wird er zu den angegebenen Gruppen hinzugefügt.

Benutzer, die ihre MFA nicht aktualisieren, können ... nichts tun. Wenn sie sich beschweren, senden Sie ihnen die Erinnerung, wie sie ihre MFA aktualisieren können. Wenn sie mit OK zurückkommen , habe ich es geschafft und das Skript Nr. 2 ausgeführt.

sysadmin1138
quelle
-2

Was ist mit der folgenden Seite, scheint Ihr Problem zu beantworten: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html

Pixel
quelle
Dies ist eine reine Linkantwort. Fügen Sie mindestens eine Zusammenfassung der Lösung hinzu, da die Links verrotten.
sysadmin1138
Tut mir leid. Nun, es ist selbsterklärend und ich möchte es einfach halten. Ich würde den Powershell-Befehl - New-IAMVirtualMFADevice und das Skript verwenden, das für jeden der Benutzer
Pixel