強制 AWS IAM User 使用 MFA 保護帳號

2024/09/21 更新2023/09/22 發佈閱讀 6 分鐘

當在管理 AWS 帳戶常常提醒 User 要設置啟用 MFA 來保護帳號安全，但常常這樣提醒是蠻累的，這是可以透過Policy來強制使用，當未啟用 MFA 將無法使用所有功能，除設置 MFA 例外。

Policy 如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:GetAccountPasswordPolicy",
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIndividualUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:ListMFADevices",
                "iam:EnableMFADevice",
                "iam:ResyncMFADevice",
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "iam:GetAccountPasswordPolicy",
                "iam:ChangePassword"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

未設置MFA

綁定MFA

可以正常使用

#AWS

#帳號

留言

西尼亞ming的沙龍

16會員

80內容數

西尼亞ming的沙龍的其他內容

2024/11/05

[GCP] Ops-agent可以監控java的效能?(工作日常)

在ops-agent當中可以安裝 JVM 來收集 Java 參數，該工具主要收集 memory 以及 garbage collection 的參數，其中監控的選項有包含以下： jvm.classes.loaded jvm.gc.collections.count jvm.gc.collec

2024/11/05

[GCP] Ops-agent可以監控java的效能?(工作日常)

2024/11/05

[GCP] 檢查 GCP 登入紀錄(工作日常)

**Google Cloud 操作與 Audit Logs 說明** Google Cloud 作為純雲端服務提供商，所有操作均透過 HTTPS 網頁或 API 呼叫完成，並無「登入專案」的行為紀錄。不過，若使用 Google Workspace 管理使用者身份，則可以透過 Google

2024/11/05

[GCP] 檢查 GCP 登入紀錄(工作日常)

2024/11/05

[GCP] GCS/BigQuery 建議的備份方法？ (工作日常)

使用 Storage Transfer 服務是否能降低成本？ Storage Transfer 的計價方式針對從 Cloud Storage 轉移至 Cloud Storage，除了一般費用外，Storage 移轉服務會使用 Cloud Storage rewrite 作業在 Cloud

2024/11/05

[GCP] GCS/BigQuery 建議的備份方法？ (工作日常)

看更多

你可能也想看

釀電影，啜一口電影的美好。

性別之外，存在面前──淺談劇作《遊林驚夢：巧遇 Hagay》

這是一場修復文化與重建精神的儀式，觀眾不需要完全看懂《遊林驚夢：巧遇Hagay》，但你能感受心與土地團聚的渴望，也不急著在此處釐清或定義什麼，但你的在場感受，就是一條線索，關於如何找著自己的路徑、自己的聲音。

#2026北藝嚴選#北藝嚴選#臺北表演藝術中心

2026/03/02

釀電影，啜一口電影的美好。

性別之外，存在面前──淺談劇作《遊林驚夢：巧遇 Hagay》

#2026北藝嚴選#北藝嚴選#臺北表演藝術中心

2026/03/02

西尼亞ming的沙龍

將 AWS S3 bucket 訪問限制為 HTTPS

以下是限制 S3 bucket 訪問 HTTPS 的方法測試 S3 存儲桶訪問 S3 bucket 通常允許 HTTP 和 HTTPS 訪問 AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求 https://docs.aws.amazon.com/zh_tw/cli/l

#AWS

2023/10/01

西尼亞ming的沙龍

將 AWS S3 bucket 訪問限制為 HTTPS

#AWS

2023/10/01

西尼亞ming的沙龍

AWS EC2 Instance metadata

EC2 Metadata 是可以從作業系統獲取的 EC2 信息，如 Instance ID、Instance 類型、所屬AZ等。例如，您可以通過將Instance ID 放在作業系統上運行的腳本的數據中來使 Logs 更易於查看。獲取 Metadata 的方法是Instance Meta Dat

#AWS#攻擊

2023/10/01

西尼亞ming的沙龍

AWS EC2 Instance metadata

#AWS#攻擊

2023/10/01

小P趨勢投資

算力的盡頭是電力！009819 小P量化交易者眼中的AI基建雙引擎致勝邏輯

背景：從冷門配角到市場主線，算力與電力被重新定價小P從2008進入股市，每一個時期的投資亮點都不同，記得2009蘋果手機剛上市，當時蘋果只要在媒體上提到哪一間供應鏈，隔天股價就有驚人的表現，當時光學鏡頭非常熱門，因為手機第一次搭上鏡頭可以拍照，也造就傳統相機廠的殞落，如今手機已經全面普及，題

#AI#算力#電力

2026/04/11

小P趨勢投資

算力的盡頭是電力！009819 小P量化交易者眼中的AI基建雙引擎致勝邏輯

#AI#算力#電力

2026/04/11

西尼亞ming的沙龍

提升 AWS 用戶登入安全性與便捷性：多因素身份驗證 (MFA) 整合生物識別技術 (FIDO)

什麼是多因素驗證 (MFA)？多因素驗證 (MFA) 是一種登入保護機制，需要使用者提供多個不同的驗證方式來確認身份。除了輸入密碼，使用者還可能需要：輸入發送到手機的驗證碼掃描指紋或面部回答安全問題這樣即使密碼被盜用，未經授權的用戶也很難登入帳戶。為什麼需要多因素

#AWS

2024/07/05

西尼亞ming的沙龍

提升 AWS 用戶登入安全性與便捷性：多因素身份驗證 (MFA) 整合生物識別技術 (FIDO)

#AWS

2024/07/05

西尼亞ming的沙龍

AWS CloudFront 與 ALB 連接需要密鑰驗證（實驗）

限制 ALB 連線需透過 CloudFront 來，透過自訂HTTP Heard 來實現首先先建立ALB 測試訪問建立 CloudFront，Origins 為 ALB CloudFront 測試訪問為ALB 新增 Listener rules 轉發到指定的Target

2023/12/27

西尼亞ming的沙龍

AWS CloudFront 與 ALB 連接需要密鑰驗證（實驗）

2023/12/27

駭客花生醬的沙龍

特權存取管理 (PAM) 解決方案之優點與不足

我們常常講要導入特權存取管理 (Privileged Access Management, PAM)，將特權帳號收攏、集中管理。但特權存取管理解決方案真的有辦法達到防護效果嗎？對於合規有什麼作用？本文將聚焦於技術層面解析特權存取管理的定義與應用，並分析相關解決方案的優缺點。

#資訊安全#駭客#資安解決方案

2023/06/27

駭客花生醬的沙龍

特權存取管理 (PAM) 解決方案之優點與不足

#資訊安全#駭客#資安解決方案

2023/06/27

陳沅綦的沙龍

柏林劇團《三便士歌劇》：巴里．柯斯基的經典再造，與布萊希特劇場的當代轉向

本文分析導演巴里・柯斯基（Barrie Kosky）如何運用極簡的舞臺配置，將布萊希特（Bertolt Brecht）的「疏離效果」轉化為視覺奇觀與黑色幽默，探討《三便士歌劇》在當代劇場中的新詮釋，並藉由舞臺、燈光、服裝、音樂等多方面，分析該作如何在保留批判核心的同時，觸及觀眾的觀看位置與人性幽微。

#2026北藝嚴選#北藝嚴選#臺北表演藝術中心

2026/02/11