AWS アカウント内のリソースを削除するには、管理者とマネージャーの 2 人のユーザーの承認が必要になるというビジネス要件があります。
これを行うための簡単ですぐに使える方法はないようです。
いくつかの手動プロセスアプローチで問題を管理できます
- リソースを削除する権限は、リソースの削除方法を技術的に知らないマネージャーにのみ付与されます。マネージャーは、リソースを削除する管理者と画面を共有します。
- スーパー管理者は管理者にリソースを削除する一時的な時間ベースの権限を与えます
それ以外に、リソースを削除するには 2 人のユーザーが必要であることを自動的に強制することは可能ですか?
具体的には、IAM 条件キーを使用して、ポリシーで 2 人のユーザーの MFA を要求することはできますか?
答え1
AWS でこれを「すぐに」実現する技術的な方法はわかりません。 1 つのアクションに対して 2 つの MFA トークンを強制することは絶対にできません。あなたが意図している方法ではありません。 ロールを引き受けることで何とかできるかもしれませんが、MFA はロールではなくユーザーに関連付けられています。
これを実行する実際的な方法は次のとおりです。
- ユーザーには削除権限がありません。ユーザーを「ユーザー」などの IAM グループに追加します。アカウントに関連付けられた個人はパスワードを知っており、MFA トークンを持っています。
- 管理者ユーザーにはリソースを削除する権限があります。このユーザーは MFA を有効にする必要があります。1 組のユーザーはパスワードを知っており (管理者など)、もう 1 組のユーザーは共有 MFA トークンを保持しています (承認者など)。
- リソースを削除するには、管理者権限を持つユーザーが承認者に MFA コードを入力するように依頼し、承認者が承認されたタスクを実行し、ログアウトするのを監視します。