AWS - CloudFormation - Habilitar MFA

Navega tus respuestas
0

¿Existe alguna forma de utilizar la formación de la nube para hacer cumplir el MFA en las cuentas de usuario en AWS?

Tengo el siguiente código de formación de nubes: 

{
    "AWSTemplateFormatVersion": "2010-09-09"

    "Description": "Security Cloud Formation Template",

{
  "Resources": {
      "Type": "AWS::IAM::Policy",
      "Properties": {
      "Users" : [*],
      "Action"   : [

      ]
      }
  }
}

No puedo encontrar una acción (en la lista de AWS) o no puedo encontrar una forma de aplicar MFA en una cuenta.

    
pregunta Pacey87 01.06.2016 - 13:18
fuente

1 respuesta

2

Sí, puedes hacer esto. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUsersToCreateEnableResyncDeleteTheirOwnVirtualMFADevice",
      "Effect": "Allow",
      "Action": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:ResyncMFADevice",
        "iam:DeleteVirtualMFADevice"
      ],
      "Resource": [
        "arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}",
        "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
      ]
    },
    {
      "Sid": "AllowUsersToDeactivateTheirOwnVirtualMFADevice",
      "Effect": "Allow",
      "Action": [
        "iam:DeactivateMFADevice"
      ],
      "Resource": [
        "arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}",
        "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
      ],
      "Condition": {
        "Bool": {
          "aws:MultiFactorAuthPresent": true
        }
      }
    },
    {
      "Sid": "AllowUsersToListMFADevicesandUsersForConsole",
      "Effect": "Allow",
      "Action": [
        "iam:ListMFADevices",
        "iam:ListVirtualMFADevices",
        "iam:ListUsers"
      ],
      "Resource": "*"
    }
  ]
}

enlace

    
respondido por el 3z33etm 28.09.2016 - 19:28
fuente

Lea otras preguntas en las etiquetas

¿Las PCI DSS requieren un servidor dedicado de syslog? ¿Recopilar solo los registros de los sistemas PCI, o el servidor central de syslog está bien para PCI dss? Implementar la aplicación de intranet con certificado SSL