У нас есть бизнес-требование, согласно которому удаление ресурсов в аккаунте AWS должно требовать одобрения двух пользователей — возможно, администратора и менеджера.
Похоже, простого и готового способа сделать это не существует.
Мы можем справиться с этой проблемой с помощью нескольких ручных подходов к процессу
- Разрешение на удаление ресурсов будет предоставлено только менеджеру, который технически не знает, как удалить ресурс. Менеджер поделится экраном с администратором, который удалит ресурс.
- Суперадминистратор предоставляет администратору временное разрешение на удаление ресурса
Помимо этого, возможно ли автоматически обеспечить, чтобы для удаления ресурса требовалось наличие двух пользователей?
В частности, можем ли мы использовать ключи условий IAM, чтобы требовать MFA для 2 пользователей в политике?
решение1
Я не знаю технического способа добиться этого в AWS "из коробки". Вы определенно не можете принудительно применить 2 токена MFA для одного действия, не так, как вы имеете в виду. Вы могли бы что-то сколотить с помощью принятия ролей, но MFA ассоциируется с пользователем, а не с ролью.
Практическим способом сделать это может быть:
- Пользователи не имеют разрешения на удаление. Добавьте их в группу IAM под названием «Пользователи» или подобную. Лицо, связанное с учетной записью, знает пароль и имеет токен MFA.
- Пользователи-администраторы имеют право удалять ресурсы. У этого пользователя должен быть включен MFA. Одна группа людей знает пароль (например, администраторы), другая группа людей владеет общим токеном MFA (например, авторизаторы)
- Чтобы удалить ресурс, пользователь с правами администратора просит авторизующего ввести для него код MFA, наблюдает, как он выполняет авторизованную задачу, а затем наблюдает, как он выходит из системы.