IAM: Ermöglicht es IAM-Benutzern, MFA-Geräte selbst zu verwalten

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die IAM-Benutzern erlaubt, ihr Multi-Faktor-Authentifizierung (MFA)-Gerät selbst zu verwalten. Diese Richtlinie gewährt die Berechtigungen, die erforderlich sind, um diese Aktion programmgesteuert über die AWS-API oder -AWS CLI durchzuführen.

Anmerkung

Wenn ein IAM-Benutzer mit dieser Richtlinie nicht MFA-authentifiziert ist, verweigert diese Richtlinie den Zugriff auf alle AWS-Aktionen mit Ausnahme derjenigen, die für die Authentifizierung mit MFA erforderlich sind. Wenn Sie diese Berechtigungen einem Benutzer zuweisen, der bei AWS angemeldet ist, muss er sich ab- und wieder anmelden, damit die Änderungen angezeigt werden.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToCreateVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowUserToDeactivateTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IAM: Zugriff auf die Richtliniensimulator-Konsole basierend auf dem Benutzerpfad (inklusive Konsole)

IAM: Aktualisieren von Anmeldeinformationen (einschließlich Konsole)