我想让我的IAM用户通过控制台设置他们自己的MFA设备,是否有一个我可以用来实现的政策?
到目前为止,我可以通过许多IAM策略来实现这一点,让他们列出所有的mfa设备和列表用户(以便他们可以在IAM控制台中find自己,并…
我基本上正在寻找一个更简单的方法来控制这个。
我应该补充一点,我的IAM用户是值得信赖的用户,所以我不必(尽pipe它会很好)将它们locking到最低限度,所以如果他们能够看到所有用户的列表是可以的。
有没有我可以用来实现这一目标的单一政策?
到目前为止,我可以通过一些IAM政策来实现这一目标,
我基本上正在寻找一个更简单的方法来控制这个。
恐怕您目前的方法是唯一可行的方法,请参阅我的相关答案以获得更一般的问题。 我如何给AWS IAM用户授予pipe理自己的安全证书的权限? ,是指另一个关于IAM访问EC2 REST API的内容? 反过来,我一般在探索“IAM证书自我pipe理”。
AWS文档提供了如何在“允许用户只pipe理他们自己的虚拟MFA设备”下执行此操作的示例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUsersToCreateEnableResyncTheirOwnVirtualMFADevice", "Effect": "Allow", "Action": [ "iam:CreateVirtualMFADevice", "iam:EnableMFADevice", "iam:ResyncMFADevice" ], "Resource": [ "arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}", "arn:aws:iam::account-id-without-hyphens:user/${aws:username}" ] }, { "Sid": "AllowUsersToDeactivateDeleteTheirOwnVirtualMFADevice", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:DeleteVirtualMFADevice" ], "Resource": [ "arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}", "arn:aws:iam::account-id-without-hyphens:user/${aws:username}" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } }, { "Sid": "AllowUsersToListMFADevicesandUsersForConsole", "Effect": "Allow", "Action": [ "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ListUsers" ], "Resource": "*" } ] } 要在AWSpipe理控制台中查找要插入的AWS账户ID号,请单击右上angular导航栏中的Support(支持),然后单击Support Center(支持中心)。 您当前login的帐户ID显示在“支持”菜单下。