AWS 계정의 리소스를 삭제하려면 2명의 사용자(관리자 및 관리자)의 승인이 필요한 비즈니스 요구 사항이 있습니다.
이 작업을 수행하는 간단하고 독창적인 방법은 없는 것 같습니다.
여러 가지 수동 프로세스 접근 방식을 통해 문제를 관리할 수 있습니다.
- 리소스 삭제 권한은 기술적으로 리소스 삭제 방법을 모르는 관리자에게만 제공됩니다. 관리자는 리소스를 삭제할 관리자와 화면을 공유합니다.
- 최고 관리자는 관리자에게 리소스를 삭제할 수 있는 임시 시간 기반 권한을 부여합니다.
그 외에 리소스를 삭제하려면 2명의 사용자가 필요하도록 자동으로 적용할 수 있습니까?
특히 iam 조건 키를 사용하여 정책에서 사용자 2명의 mfa를 요구할 수 있습니까?
답변1
저는 AWS에서 "즉시" 이를 달성할 수 있는 기술적인 방법을 모릅니다. 당신이 말하는 방식이 아닌 단일 작업에 대해 2개의 MFA 토큰을 시행할 수는 없습니다. 역할을 맡아 무언가를 엮을 수도 있지만 MFA는 역할이 아닌 사용자와 연결됩니다.
이를 수행하는 실용적인 방법은 다음과 같습니다.
- 사용자에게는 삭제 권한이 없습니다. "Users" 또는 이와 유사한 IAM 그룹에 추가합니다. 계정과 연결된 개인은 비밀번호를 알고 있으며 MFA 토큰을 가지고 있습니다.
- 관리 사용자에게는 리소스를 삭제할 수 있는 권한이 있습니다. 이 사용자는 MFA를 활성화해야 합니다. 한 세트의 사람들은 비밀번호를 알고 있고(예: 관리자), 다른 세트의 사람들은 공유 MFA 토큰을 보유합니다(예: 승인자).
- 리소스를 삭제하려면 관리자 권한이 있는 사용자가 승인자에게 MFA 코드를 입력하도록 요청하고 승인된 작업을 수행하는 것을 지켜본 다음 로그아웃하는 것을 지켜보세요.