Automatización de la activación del dispositivo MFA para usuarios de IAM

9

Estoy creando más de 20 usuarios de IAM y quiero habilitar el dispositivo MFA virtual para ellos. ¿Hay alguna forma de hacerlo de una vez para todos ellos o de alguna manera para automatizar esta tarea? Quiero que sea obligatorio para todos los usuarios de IAM usar MFA y sin configurarlo no pueden continuar.

amazon-web-services amazon-iam Yeleshwar
fuente
aws.amazon.com/blogs/security/…
dmourati
1
@dmourati: ¿no es solo una respuesta si proporcionó ese enlace y un resumen rápido de cómo Condition "aws:MultiFactorAuthAge": "true"utilizar las políticas?
GrzegorzOledzki
Tal vez, pero eso fue todo lo que tuve tiempo y quería dar un puntero en la dirección correcta.
dmourati

Respuestas:

1

Mi solución a esto es un proceso de activación de dos pasos para nuevos usuarios:

  1. Cree al usuario con suficientes derechos para cambiar su contraseña y actualizar su MFA. Dígales que necesitan actualizar su MFA. Todavía no entran en sus grupos "reales".
  2. Tener un script de sondeo que se ejecute periódicamente. Si un usuario tiene su MFA activado, se agrega a sus grupos designados.

Los usuarios que no actualicen su MFA podrán hacer ... nada. Cuando se quejen, envíeles el recordatorio de cómo actualizar su AMF. Cuando vuelven con OK, lo he hecho, ejecuta el script # 2.

sysadmin1138
fuente
-2

¿Qué pasa con la siguiente página, parece responder a su problema: http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_cliapi.html

Píxel
fuente
Esta es una respuesta de solo enlace, agregue al menos un resumen de la solución ya que los enlaces se pudren.
sysadmin1138
Perdón por eso ... Bueno, se explica por sí mismo y me gusta que sea simple, usaría el comando powershell - New-IAMVirtualMFADevice y script que para cada uno de los usuarios
Pixel