Назад | Перейти на главную страницу

Как разрешить пользователям IAM настраивать свои собственные виртуальные устройства MFA

Я хочу, чтобы мои пользователи IAM могли настраивать свои собственные устройства MFA через консоль. Есть ли какая-то одна политика, которую я могу использовать для этого?

Пока я могу добиться этого с помощью ряда политик IAM, позволяя им перечислять все устройства mfa и перечислять пользователей (чтобы они могли найти себя в консоли IAM и ...

Я в основном ищу более простой способ контролировать это.

Я должен добавить, что мои пользователи IAM являются доверенными пользователями, поэтому мне не нужно (хотя это было бы неплохо) ограничивать их до минимально возможного, поэтому, если они могут видеть список всех пользователей, это нормально.

Документы AWS содержат пример того, как это сделать, в разделе «Разрешить пользователям управлять только своими собственными виртуальными устройствами MFA»:

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_delegate-permissions_examples.html#creds-policies-mfa-console

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUsersToCreateEnableResyncTheirOwnVirtualMFADevice",
      "Effect": "Allow",
      "Action": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:ResyncMFADevice"
      ],
      "Resource": [
        "arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}",
        "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
      ]
    },
    {
      "Sid": "AllowUsersToDeactivateDeleteTheirOwnVirtualMFADevice",
      "Effect": "Allow",
      "Action": [
        "iam:DeactivateMFADevice",
        "iam:DeleteVirtualMFADevice"
      ],
      "Resource": [
        "arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}",
        "arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
      ],
      "Condition": {
        "Bool": {
          "aws:MultiFactorAuthPresent": true
        }
      }
    },
    {
      "Sid": "AllowUsersToListMFADevicesandUsersForConsole",
      "Effect": "Allow",
      "Action": [
        "iam:ListMFADevices",
        "iam:ListVirtualMFADevices",
        "iam:ListUsers"
      ],
      "Resource": "*"
    }
  ]
}

Чтобы найти свой идентификатор учетной записи AWS для подключаемого модуля в Консоли управления AWS, нажмите «Поддержка» на панели навигации в правом верхнем углу, а затем нажмите «Центр поддержки». Идентификатор вашего текущего аккаунта отображается под меню поддержки.

Смотрите также https://blogs.aws.amazon.com/security/post/Tx2SJJYE082KBUK/How-to-Delegate-Management-of-Multi-Factor-Authentication-to-AWS-IAM-Users

[...] есть ли какая-то одна политика, которую я могу использовать для этого? ...

Пока я могу добиться этого с помощью ряда политик IAM, [...]

Я в основном ищу более простой способ контролировать это.

Боюсь, что ваш текущий подход - единственно возможный на данный момент, см. Мой ответ на более общий вопрос Как я могу предоставить пользователю AWS IAM права на управление своими учетными данными безопасности?, который относится к другому, касающемуся Доступ IAM к EC2 REST API? в свою очередь, где я исследую «Самоуправление учетными данными IAM» в целом.