您是否可以要求AWS IAM帐户使用MFA?

是否有可能要求为Amazon Web Services中的特定/所有IAM帐户启用多因素身份validation(MFA)?

有密码要求的选项,很明显如何select将其添加到自己的帐户,但不清楚是否有强制用户有MFA的选项。

答案是肯定的,有。 通过使用条件。 例如,对于pipe理帐户:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*", "Condition": { "Null":{"aws:MultiFactorAuthAge":"false"} } } ] } 

它将强制使用MFA进行密码validation和使用API​​的基于令牌的validation。

经过一番环顾,似乎答案是“种”。 在IAM中,pipe理员可以为另一个IAM用户configurationMFA。 虽然这可能有点棘手,如果你正在build立一个虚拟的MFA,这是可能的。 然后,如果用户没有被授予更新/删除他们的MFA的权限,则这是有效的要求。

虽然我还没有确定应该被拒绝(或者根本不被授予)的完整列表,但是这个post似乎有这些信息,我会在testing完成后更新这个答案。

[更新]

我能够将用户设置为高级用户(因此不能授予他们访问IAMfunction的权限,尽pipe我相信您可以获得更多细化),并与他们一起实施他们的MFA。 使用这种方法,他们将无法禁用它。

显然不是。 看起来,IAM帐户的MFA是可选的,尽pipe您最好在AWS支持论坛上发布权威答案。