我們有一個業務需求,其中刪除 AWS 帳戶中的資源需要 2 個使用者的批准 - 可能是管理員和經理。
似乎沒有一種簡單的、開箱即用的方法可以做到這一點。
我們可以透過多種手動處理方法來解決問題
- 刪除資源的權限將僅提供給管理員 - 從技術上講,管理員不知道如何刪除資源。經理將與管理員共享螢幕,管理員將刪除資源。
- 超級管理員向管理員授予刪除資源的臨時基於時間的權限
除此之外,是否可以自動強制要求 2 個使用者才能刪除資源?
具體來說,我們可以使用 iam 條件鍵來要求策略中的 2 位使用者進行 MFA 嗎?
答案1
我不知道在 AWS 中「開箱即用」實現這一點的技術方法。您絕對不能為單一操作強制執行 2 個 MFA 令牌,而不是按照您的意思。您也許可以透過承擔角色來拼湊一些東西,但 MFA 與使用者而不是角色相關聯。
執行此操作的一種實用方法可能是:
- 使用者沒有刪除權限。將它們新增至名為“Users”或類似名稱的 IAM 群組。與該帳戶關聯的個人知道密碼並擁有 MFA 令牌。
- 管理員使用者有權刪除資源。該用戶必須啟用 MFA。一組人知道密碼(例如管理員),另一組人持有共享的 MFA 令牌(例如授權者)
- 若要刪除資源,具有管理員權限的使用者會要求授權者為其輸入 MFA 程式碼,觀察他們執行授權任務,然後觀察他們登出。