Temos um requisito comercial em que a exclusão de recursos na conta AWS deve exigir a aprovação de 2 usuários - pode ser um administrador e o gerente.
Não parece haver uma maneira direta e pronta para fazer isso.
Podemos gerenciar o problema por meio de diversas abordagens de processos manuais
- A permissão para excluir recursos será fornecida apenas ao gerente - que não sabe tecnicamente como excluir recursos. O gerente compartilhará a tela com o administrador que excluirá o recurso.
- Superadmin dá permissão temporária baseada em tempo para excluir recursos ao administrador
Fora isso, é possível impor automaticamente que 2 usuários sejam obrigados a excluir um recurso?
Especificamente, podemos usar chaves de condição iam para exigir MFA de 2 usuários em uma política?
Responder1
Não conheço nenhuma maneira técnica de conseguir isso na AWS "pronto para usar". Definitivamente, você não pode impor 2 tokens MFA para uma única ação, não da maneira que você quer dizer. Você pode conseguir remendar algo assumindo funções, mas o MFA está associado a um usuário e não a uma função.
Uma maneira prática de fazer isso seria:
- Os usuários não têm permissão de exclusão. Adicione-os a um grupo IAM chamado "Usuários" ou similar. O indivíduo associado à conta conhece a senha e possui o token MFA.
- Os usuários administradores têm direitos para excluir recursos. Este usuário deve ter o MFA habilitado. Um conjunto de pessoas conhece a senha (por exemplo, administradores), outro conjunto de pessoas possui um token MFA compartilhado (por exemplo, autorizadores)
- Para excluir um recurso, um usuário com direitos de administrador solicita a um autorizador que digite o código MFA para ele, observe-o realizar a tarefa autorizada e, em seguida, observe-o sair.