AWS IAM 계정에 MFA가 필요할 수 있습니까?


23

Amazon Web Services에서 특정 / 모든 IAM 계정에 MFA (Multi-factor Authentication)를 활성화해야합니까?

비밀번호 요구 사항에 대한 옵션이 있으며 계정에 비밀번호를 추가 할 수있는 방법은 명확하지만 사용자가 MFA를 사용하도록하는 옵션이 있는지는 확실하지 않습니다.


대부분의 작업에 MFA가 필요한 IAM 정책 : docs.aws.amazon.com/IAM/latest/UserGuide/…
Simon Woodside

답변:


13

대답은 '예'입니다. 조건을 사용합니다. 예를 들어 관리자 계정의 경우 :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

API를 사용하여 비밀번호 인증 및 토큰 기반 인증 모두에 대해 MFA를 시행합니다.


6
이 방법을 사용하려면 콘솔 및 API 액세스 모두에 필요합니다. 콘솔 액세스 에만 필요할 수 있습니까?
jeffbyrnes

몰라. MFA가 잘 지원되지 않아 API (CLI)가 성가신 것으로 알고 있습니다. BTW 다른 액세스 방법을 사용하여 보안을 우회하는 방법이라면 더 강력한 보안을 설정하는 것이 중요하지 않습니다.
smad

3
@ smad 요점은 토큰 자격 증명이 자동으로 생성되어 사용자의 하드 드라이브에 저장되므로 유일한 공격 경로는 악성 코드, 컴퓨터 도용 등을 통해 사용자 컴퓨터에서 얻는 것입니다. 반면에 다른 사이트에서는 약하거나 재사용 될 수 있으므로 무차별 강제 실행 또는 해킹 된 사이트의 암호 덤프에서 가져 오는 추가 공격 경로가 있습니다. 암호 정책은 도움이 될 수 있지만 p 만 예방하는 것은 어렵습니다. 예를 들어 i 만 1로 대체 된 사전 단어는!
danny

@jeffbyrnes MFA에 사용자를 활성화하면 기본적으로 콘솔 액세스에 대해서만 활성화됩니다. 그런 다음 이와 같은 IAM 정책을 사용하여 MFA가 필요한 API / CLI 작업을 정의해야합니다 (있는 경우).
SeanFromIT

1
적어도 제대로 적용하지 않으면 이것이 더 이상 작동하지 않을 것입니다. (관리자 그룹에 할당 된 새 정책으로). 내 계정의 신규 및 기존 관리자 모두 MFA를 설정하지 않고도 로그인 할 수 있습니다.
Tim Malone

8

약간 둘러 보면 대답은 "종류"인 것으로 보입니다. IAM에서 관리자는 다른 IAM 사용자에 대한 MFA를 구성 할 수 있습니다. 가상 MFA를 설정하는 경우 약간 까다로울 수 있지만 가능합니다. 그런 다음 사용자에게 MFA를 업데이트 / 제거 할 수있는 권한이 없으면 효과적으로 필요합니다.

거부해야 할 (또는 단순히 부여되지 않아야 할) 전체 동작 목록을 아직 결정하지는 않았지만 이 게시물 에 정보가있는 것 같습니다. 테스트 한 후에이 답변을 업데이트하겠습니다.

[최신 정보]

사용자를 고급 사용자로 설정하고 (더 세분화 될 수는 있지만 IAM 기능에 대한 액세스 권한을 부여하지 않음) MFA를 그들과 함께 구현할 수있었습니다. 이 방법을 사용하면 비활성화 할 수 없습니다.


1
IAM 사용자가 MFA를 직접 설정하도록 할 수 있는지 알고 있습니까?
cavalcade

그렇다면 길을 찾지 못했습니다.
Joe

2

1

예. 웹 콘솔과 awscli명령 줄 모두에 대해 IAM 계정에 MFA를 요구할 수 있습니다 . 실제로, 웹 콘솔에는 MFA를 안정적으로 요구할 수없고 awscli명령 줄 에는 MFA를 요구하지 않습니다 . 둘 다 동일한 API를 사용하기 때문입니다. 복잡한 IAM 정책을 사용 awscli하면 웹 콘솔에 MFA를 적용하면서 MFA없이 일부 작업 을 허용 할 수 있기 때문에 '신뢰할 수 있습니다'라고 말합니다 . 그러나 결과는 다소 예측할 수 없으며, 더 위험하지 않은 경우 IAM 키는 동일하게 보호됩니다. 내 권장 사항은 두 가지 모두 필요하며 MFA가 절대적으로 금기 인 특수 용도의 보호되지 않은 키를 만드는 것입니다. 자동화 된 프로세스의 경우 일반적으로 역할이 더 나은 선택입니다.

명령 줄에서 MFA 작업을보다 쉽게 ​​수행 할 수 있도록 vMFAd를 쉽게 연결 / 분리하고 MFA 세션을 시작 및 관리 할 수 ​​있도록 bash 스크립트 세트와 신중하게 조작 된 MFA 적용 정책 예제 를 만들었습니다. macOS 및 Linux 변형에서는 작동하지만 Windows에서는 테스트되지 않습니다.


0

분명히 아닙니다. 신뢰할 수있는 답변을 얻기 위해 AWS 지원 포럼에 게시하는 것이 가장 좋지만 IAM 계정 용 MFA는 선택 사항 인 것으로 보입니다.


링크에 감사하지만 MFA가 활성화되면 언제 필요할지에 대한 다른 질문에 답변합니다. 이 질문은 활성화를 적용 할 수 있는지 여부에 관한 것입니다.
Joe


당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.