Pouvez-vous exiger MFA pour les comptes AWS IAM?

Est-il possible d'exiger que l'authentification multifacteur (MFA) soit activée pour des comptes IAM spécifiques / tous dans Amazon Web Services?

Il existe des options pour les exigences de mot de passe et il est clair comment on peut choisir de l'ajouter à son compte, mais il n'est pas clair s'il existe une option pour forcer les utilisateurs à avoir MFA.

La réponse est oui, il y en a. En utilisant une condition. Par exemple, pour les comptes d'administrateur:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

Il appliquera MFA pour l'authentification par mot de passe et l'authentification basée sur des jetons à l'aide de l'API.

Après un peu de regard, il semble que la réponse soit "en quelque sorte". Dans IAM, un administrateur peut configurer un MFA pour un autre utilisateur IAM. Bien que cela puisse être un peu délicat si vous configurez un MFA virtuel, c'est possible. Ensuite, si l'utilisateur n'a pas été autorisé à mettre à jour / supprimer son MFA, cela est effectivement requis.

Bien que je n'aie pas encore déterminé la liste complète des actions qui devraient être refusées (ou tout simplement non accordées), ce message semble avoir les informations, et je mettrai à jour cette réponse une fois que je l'aurai testée.

[Mise à jour]

J'ai pu configurer des utilisateurs en tant qu'utilisateurs avancés (ce qui ne leur a pas permis d'accéder à des fonctions IAM, même si je suis sûr que vous pourriez être plus précis) et implémenter leur MFA avec eux. En utilisant cette méthodologie, ils ne pourront pas la désactiver.

Oui, vous pouvez exiger MFA pour les comptes IAM à la fois pour la console Web et pour la awscliligne de commande. En fait, il n'est pas possible d'exiger de manière fiable MFA pour la console Web sans l'exiger pour la awscliligne de commande, car les deux atteignent les mêmes API. Je dis «de manière fiable» car avec une stratégie IAM complexe, il est possible d'autoriser certaines awscliopérations sans MFA tout en appliquant MFA pour la console Web. Cependant, les résultats sont quelque peu imprévisibles et, en outre, les clés IAM sont également, sinon plus dangereuses, non protégées. Ma recommandation est de l'exiger pour les deux, puis de créer des clés non protégées pour des utilisations spéciales où MFA est absolument contre-indiqué. Pour les processus automatisés, les rôles seraient généralement un meilleur choix.

Pour faciliter les opérations MFA sur la ligne de commande, j'ai créé un ensemble de scripts bash et un exemple de stratégie d'application MFA soigneusement conçu qui facilitent la connexion / le détachement de vMFAd, ainsi que le démarrage et la gestion des sessions MFA. Ils fonctionnent sur les variantes macOS et Linux, mais probablement pas sur Windows (non testé).

Apparemment non. Il semble que MFA pour les comptes IAM est facultatif, mais vous feriez mieux de publier sur les forums de support AWS pour une réponse faisant autorité.

Nous avons documenté quelques considérations pour le multifacteur AWS API en général (où ajouter les conditions, quelles sont les implications, etc.) dans la documentation de certains outils personnalisés ( https://github.com/kreuzwerker/awsu ) que nous avons développés pour utiliser Yubikeys comme source pour les jetons TOTP. Cela facilite le travail avec les rôles et les informations d'identification à long terme + les jetons de session.

La réponse acceptée n'est plus valide AFAICT. AWS a documenté comment vous pouvez le faire à travers leur article de tutoriel ici:

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html

J'ai suivi cela pour mon nouveau compte et équipe AWS et cela a très bien fonctionné.