強制 AWS IAM User 使用 MFA 保護帳號

更新於 2024/09/21發佈於 2023/09/22閱讀時間約 6 分鐘

當在管理 AWS 帳戶常常提醒 User 要設置啟用 MFA 來保護帳號安全，但常常這樣提醒是蠻累的，這是可以透過Policy來強制使用，當未啟用 MFA 將無法使用所有功能，除設置 MFA 例外。

Policy 如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:GetAccountPasswordPolicy",
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIndividualUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:ListMFADevices",
                "iam:EnableMFADevice",
                "iam:ResyncMFADevice",
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "iam:GetAccountPasswordPolicy",
                "iam:ChangePassword"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

未設置MFA

綁定MFA

可以正常使用

#AWS

#帳號

留言

留言分享你的想法！

西尼亞ming的沙龍

16會員

80內容數

西尼亞ming的沙龍的其他內容

2024/11/05

[GCP] Ops-agent可以監控java的效能?(工作日常)

在ops-agent當中可以安裝 JVM 來收集 Java 參數，該工具主要收集 memory 以及 garbage collection 的參數，其中監控的選項有包含以下： jvm.classes.loaded jvm.gc.collections.count jvm.gc.collec

2024/11/05

[GCP] Ops-agent可以監控java的效能?(工作日常)

2024/11/05

[GCP] 檢查 GCP 登入紀錄(工作日常)

**Google Cloud 操作與 Audit Logs 說明** Google Cloud 作為純雲端服務提供商，所有操作均透過 HTTPS 網頁或 API 呼叫完成，並無「登入專案」的行為紀錄。不過，若使用 Google Workspace 管理使用者身份，則可以透過 Google

2024/11/05

[GCP] 檢查 GCP 登入紀錄(工作日常)

2024/11/05

[GCP] GCS/BigQuery 建議的備份方法？ (工作日常)

使用 Storage Transfer 服務是否能降低成本？ Storage Transfer 的計價方式針對從 Cloud Storage 轉移至 Cloud Storage，除了一般費用外，Storage 移轉服務會使用 Cloud Storage rewrite 作業在 Cloud

2024/11/05

[GCP] GCS/BigQuery 建議的備份方法？ (工作日常)

看更多

你可能也想看

阿千看世界

2025年綜合所得稅繳稅教學：線上申報、信用卡回饋、拆單攻略！

每年4月、5月都是最多稅要繳的月份，當然大部份的人都是有機會繳到「綜合所得稅」，只是相當相當多人還不知道，原來繳給政府的稅！可以透過一些有活動的銀行信用卡或電子支付來繳，從繳費中賺一點點小確幸！就是賺個１%~2%大家也是很開心的，因為你們把沒回饋變成有回饋，就是用卡的最高境界所得稅線上申報

#2025所得稅#綜合所得稅#繳稅有回饋

2025/05/03

阿千看世界

2025年綜合所得稅繳稅教學：線上申報、信用卡回饋、拆單攻略！

#2025所得稅#綜合所得稅#繳稅有回饋

2025/05/03

科技巨頭解碼

NVDA 25Q1 財報 - 扣除中國因素，輝達的前方仍然沒有烏雲 | #276

全球科技產業的焦點，AKA 全村的希望 NVIDIA，於五月底正式發布了他們在今年 2025 第一季的財報 (輝達內部財務年度為 2026 Q1，實際日曆期間為今年二到四月)，交出了打敗了市場預期的成績單。然而，在銷售持續高速成長的同時，川普政府加大對於中國的晶片管制......

#NVDA#NVIDIA#輝達

2025/06/18

科技巨頭解碼

NVDA 25Q1 財報 - 扣除中國因素，輝達的前方仍然沒有烏雲 | #276

#NVDA#NVIDIA#輝達

2025/06/18

西尼亞ming的沙龍

提升 AWS 用戶登入安全性與便捷性：多因素身份驗證 (MFA) 整合生物識別技術 (FIDO)

什麼是多因素驗證 (MFA)？多因素驗證 (MFA) 是一種登入保護機制，需要使用者提供多個不同的驗證方式來確認身份。除了輸入密碼，使用者還可能需要：輸入發送到手機的驗證碼掃描指紋或面部回答安全問題這樣即使密碼被盜用，未經授權的用戶也很難登入帳戶。為什麼需要多因素

#AWS

2024/07/05

西尼亞ming的沙龍

提升 AWS 用戶登入安全性與便捷性：多因素身份驗證 (MFA) 整合生物識別技術 (FIDO)

#AWS

2024/07/05

廖偉帆的沙龍

如何強制登出閒置網頁的使用者

為什麼要登出使用者？安全性：防止未經授權的人，在使用者暫離時使用系統，這在公用或共享電腦的環境中尤其重要。資料保護：只要使用者處於登入狀態，就會暴露在個人資料被他人操縱或利用的風險中，因此登出閒置使用者對資安也很重要。如何在 Vue 3 專案中實作此功能？

2024/04/28

2024/04/28

利用AWS WAF Rules規則設定IP Set(白名單)和臺灣IP不被阻擋

本文介紹如何使用AWS WAF Rules規則，透過IP Set(白名單) 以及TW IP的設定，來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。

#AWS

2024/02/14

西尼亞ming的沙龍

利用AWS WAF Rules規則設定IP Set(白名單)和臺灣IP不被阻擋

#AWS

2024/02/14

西尼亞ming的沙龍

AWS CloudFront 與 ALB 連接需要密鑰驗證（實驗）

限制 ALB 連線需透過 CloudFront 來，透過自訂HTTP Heard 來實現首先先建立ALB 測試訪問建立 CloudFront，Origins 為 ALB CloudFront 測試訪問為ALB 新增 Listener rules 轉發到指定的Target

2023/12/27

西尼亞ming的沙龍

AWS CloudFront 與 ALB 連接需要密鑰驗證（實驗）

2023/12/27

西尼亞ming的沙龍

AWS EC2 Instance metadata

EC2 Metadata 是可以從作業系統獲取的 EC2 信息，如 Instance ID、Instance 類型、所屬AZ等。例如，您可以通過將Instance ID 放在作業系統上運行的腳本的數據中來使 Logs 更易於查看。獲取 Metadata 的方法是Instance Meta Dat

#AWS#攻擊

2023/10/01

西尼亞ming的沙龍

AWS EC2 Instance metadata

#AWS#攻擊

2023/10/01

西尼亞ming的沙龍

將 AWS S3 bucket 訪問限制為 HTTPS

以下是限制 S3 bucket 訪問 HTTPS 的方法測試 S3 存儲桶訪問 S3 bucket 通常允許 HTTP 和 HTTPS 訪問 AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求 https://docs.aws.amazon.com/zh_tw/cli/l

#AWS

2023/10/01

西尼亞ming的沙龍

將 AWS S3 bucket 訪問限制為 HTTPS

#AWS

2023/10/01

西尼亞ming的沙龍

強制 AWS IAM User 使用 MFA 保護帳號

當在管理 AWS 帳戶常常提醒 User 要設置啟用 MFA 來保護帳號安全，但常常這樣提醒是蠻累的，這是可以透過Policy來強制使用，當未啟用 MFA 將無法使用所有功能，除設置 MFA 例外。 Policy 如下： { "Version": "2012-10-17", "S

#AWS#帳號

2023/09/22

西尼亞ming的沙龍

強制 AWS IAM User 使用 MFA 保護帳號

#AWS#帳號

2023/09/22

駭客花生醬的沙龍

特權存取管理 (PAM) 解決方案之優點與不足

我們常常講要導入特權存取管理 (Privileged Access Management, PAM)，將特權帳號收攏、集中管理。但特權存取管理解決方案真的有辦法達到防護效果嗎？對於合規有什麼作用？本文將聚焦於技術層面解析特權存取管理的定義與應用，並分析相關解決方案的優缺點。

#資訊安全#駭客#資安解決方案

2023/06/27

駭客花生醬的沙龍

特權存取管理 (PAM) 解決方案之優點與不足

#資訊安全#駭客#資安解決方案

2023/06/27

馬克解讀金融科技的沙龍

資安防護下的數位身份識別與管理 - Okta

新冠疫情爆發後，為了防疫，部分公司開始實施遠端工作，員工可以透過更多設備、網路和程式連接工作，也促使公司更新資訊軟體，採取更靈活的資安軟體。不只一般公司，與資產相關、重視資安的金融業，也在科技日新月異的發展下推動無密碼與多因子認證登入。

#資安#FIDO#行動身分識別

2022/08/11

馬克解讀金融科技的沙龍

資安防護下的數位身份識別與管理 - Okta

#資安#FIDO#行動身分識別

2022/08/11

AWS Educate的沙龍

Day ONE in Startup - AWS 服務幫你省下法遵成本！

"We love it when we are able to simply provide extra security without any inconvenience." - Roger Zou on Amazon GuardDuty Snap Inc. 1. 法遵對企業的重要性 📷

2022/02/08

AWS Educate的沙龍

Day ONE in Startup - AWS 服務幫你省下法遵成本！

"We love it when we are able to simply provide extra security without any inconvenience." - Roger Zou on Amazon GuardDuty Snap Inc. 1. 法遵對企業的重要性 📷

2022/02/08

追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News