ヤマムギ

growing hard days.

*

IAMユーザーにパスワード変更とMFA設定を許可する

      2021/07/05


組織管理のIAMで、ユーザーにMFAを使ってサインインしない限り操作は許可しないとしたいですよね。
個別のIAMポリシーにConditionをつけるのも面倒なので、IAMユーザーにはパスワード変更とMFA設定をまず許可して、スイッチロールをMFAサインインのCondition付きにしてみました。

最初、IAMユーザーにMFA設定を許可してなかったので、スイッチロールにはMFA必要、でも設定できないというデッドロックに陥っちゃってました!

パスワード変更のIAMポリシーはAWS管理ポリシーのIAMUserChangePasswordにiam:GetLoginProfileアクションを追加したインラインポリシーにしています。
iam:GetLoginProfileがないと、既存パスワードがマネジメントコンソールから変更できないので、そうしました。

MFA設定のIAMポリシーはこちら「IAM: IAM ユーザーに MFA デバイスの自己管理を許可する」をそのまま使っています。

両方ともポリシー変数 ${aws:username} を使用しているので、ユーザーをまとめているグループがあるならそこにそのままアタッチできます。

  • 自分のサインイン情報画面

  • 他の人のサインイン情報画面

スイッチロールする前に自分のMFAだけコントロールできるようになりました!


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

 - AWS ,

ad

ad

  関連記事

VyOSにSSMエージェントをインストールしました

VyOSにSSHでログインするのも面倒なので、SSMエージェントをインストールし …

AWS VPC ネットワークACLでHTTP(80)のみ許可する

ユーザーガイドのカスタムネットワーク ACLのうち、HTTP(80)を許可する設 …

AWSアカウント内のすべてのS3バケットを削除するLambda(Python)

やりたいこと 特定アカウント内のS3バケットを全部削除したいです。 バケット内の …

AWS Systems Manager Run CommandでEC2 Linuxのユーザーとカレントディレクトリを確認

AWS Systems Manager Run CommandからEC2 Lin …

EFSをEC2(Amazon Linux 2)からマウントする

Amazon Elastic File Systemが東京リージョンに来たことも …

Systems Manager パッチマネージャでベースラインを作成して適用する

ベースラインの作成 Systems Managerのパッチマネージャーでパッチベ …

AWS Lambda(Python)でDynamoDB テーブルを日次で削除/作成(オートスケーリング付き)

この記事はAWS #2 Advent Calendar 2018に参加した記事で …

CloudFrontのカスタムヘッダーがなければALBのルーティングで403レスポンスを返す

大阪リージョンにはWAFがまだないです(2021年4月現在) 今のこのブログの構 …

Amazon Connectで電話を転送する

かかってきた電話を転送するようにしました。 問い合わせフローで[終了/転送]から …

Amazon CloudWatch Syntheticsでハートビートモニタリングを実行

このブログに対してハートビートモニタリングのCanaryを実行してみました。 C …