Wir haben eine Geschäftsanforderung, bei der das Löschen von Ressourcen im AWS-Konto die Genehmigung von zwei Benutzern erfordern sollte – möglicherweise einem Administrator und dem Manager.
Es scheint keine direkte und sofort einsatzbereite Möglichkeit hierfür zu geben.
Wir können das Problem durch mehrere manuelle Prozessansätze bewältigen
- Die Berechtigung zum Löschen von Ressourcen wird nur dem Manager erteilt, der technisch nicht weiß, wie man Ressourcen löscht. Der Manager gibt den Bildschirm an den Administrator frei, der die Ressource löscht.
- Der Superadmin erteilt dem Administrator vorübergehend die zeitbasierte Berechtigung zum Löschen von Ressourcen
Ist es darüber hinaus möglich, automatisch zu erzwingen, dass zum Löschen einer Ressource zwei Benutzer erforderlich sind?
Können wir insbesondere IAM-Bedingungsschlüssel verwenden, um in einer Richtlinie die MFA von zwei Benutzern zu verlangen?
Antwort1
Ich kenne keine technische Möglichkeit, dies in AWS „out of the box“ zu erreichen. Sie können definitiv nicht 2 MFA-Token für eine einzelne Aktion erzwingen, nicht in der von Ihnen gemeinten Weise. Sie können möglicherweise etwas zusammenschustern, indem Sie Rollen übernehmen, aber MFA ist einem Benutzer und nicht einer Rolle zugeordnet.
Eine praktische Möglichkeit hierfür könnte wie folgt aussehen:
- Benutzer haben keine Löschberechtigung. Fügen Sie sie einer IAM-Gruppe namens „Benutzer“ oder ähnlich hinzu. Die mit dem Konto verknüpfte Person kennt das Passwort und verfügt über das MFA-Token.
- Administratoren haben das Recht, Ressourcen zu löschen. Für diesen Benutzer muss MFA aktiviert sein. Einige Personen kennen das Passwort (z. B. Administratoren), andere Personen besitzen ein gemeinsames MFA-Token (z. B. Autorisierer).
- Um eine Ressource zu löschen, bittet ein Benutzer mit Administratorrechten einen Autorisierer, den MFA-Code für ihn einzugeben, ihm bei der Ausführung der autorisierten Aufgabe zuzusehen und sich anschließend abzumelden.