Tenemos un requisito comercial en el que la eliminación de recursos en la cuenta de AWS debe requerir la aprobación de 2 usuarios: puede ser un administrador y el gerente.
No parece haber una forma sencilla y lista para usar de hacer esto.
Podemos gestionar el problema mediante varios enfoques de proceso manual.
- El permiso para eliminar recursos se otorgará únicamente al administrador, quien técnicamente no sabe cómo eliminar recursos. El administrador compartirá la pantalla con el administrador, quien eliminará el recurso.
- El superadministrador otorga permiso temporal basado en el tiempo para eliminar recursos al administrador
Aparte de eso, ¿es posible imponer automáticamente que se requieran 2 usuarios para eliminar un recurso?
Específicamente, ¿podemos usar claves de condición de iam para requerir mfa de 2 usuarios en una política?
Respuesta1
No conozco ninguna forma técnica de lograr esto en AWS "listo para usar". Definitivamente no puedes aplicar 2 tokens MFA para una sola acción, no en la forma que quieres decir. Es posible que pueda improvisar algo asumiendo roles, pero MFA está asociado con un usuario, no con un rol.
Una forma práctica de hacer esto podría ser:
- Los usuarios no tienen permiso de eliminación. Agréguelos a un grupo de IAM llamado "Usuarios" o similar. La persona asociada a la cuenta conoce la contraseña y tiene el token MFA.
- Los usuarios administradores tienen derechos para eliminar recursos. Este usuario debe tener habilitado MFA. Un grupo de personas conoce la contraseña (por ejemplo, administradores), otro grupo de personas posee un token MFA compartido (por ejemplo, autorizadores)
- Para eliminar un recurso, un usuario con derechos de administrador le pide a un autorizador que escriba el código MFA por él, observe cómo realiza la tarea autorizada y luego observe cómo cierra sesión.