Назад | Перейти на главную страницу

Для удаления ресурса AWS требуется одобрение 2 пользователей.

У нас есть бизнес-требование, согласно которому для удаления ресурсов в учетной записи AWS требуется одобрение 2 пользователей - это может быть администратор и менеджер.

Кажется, нет простого готового способа сделать это.

Мы можем решить проблему несколькими ручными подходами к процессу.

Разрешение на удаление ресурсов будет предоставлено только менеджеру, который технически не знает, как удалить ресурс. Менеджер покажет экран с админом, который удалит ресурс.
Суперадмин дает временное разрешение на удаление ресурса администратору

Кроме того, можно ли автоматически принудительно обеспечить, чтобы для удаления ресурса требовалось 2 пользователя?

В частности, можем ли мы использовать ключи условия iam, чтобы требовать mfa 2 пользователей в политике?

Я не знаю технических способов добиться этого в AWS «из коробки». Вы определенно не можете принудительно использовать 2 токена MFA для одного действия, не так, как вы имеете в виду. Возможно, вы сможете что-то сколотить вместе с предполагаемыми ролями, но MFA ассоциируется с пользователем, а не с ролью.

Практический способ сделать это:

У пользователей нет разрешения на удаление. Добавьте их в группу IAM под названием «Пользователи» или аналогичную. Человек, связанный с учетной записью, знает пароль и имеет токен MFA.
Пользователи-администраторы имеют право удалять ресурсы. У этого пользователя должен быть включен MFA. Одна группа людей знает пароль (например, администраторы), другая группа людей имеет общий токен MFA (например, авторизаторы).
Чтобы удалить ресурс, пользователь с правами администратора просит авторизатора ввести для него код MFA, посмотреть, как они выполняют авторизованную задачу, а затем посмотреть, как они выходят из системы.