2017-09-25 89 views
0
 { 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Sid": "Stmt1506369084151", 
     "Action": [ 
     "iam:CreateVirtualMFADevice", 
     "iam:EnableMFADevice", 
     "iam:ListMFADevices", 
     "iam:ResyncMFADevice" 
     ], 
     "Effect": "Allow", 
     "Resource": "arn:aws:iam::account_#:user/user_name" 
    } 
    ] 
} 

我有這個上面的策略,它應該使用戶能夠自行設置MFA。 但是,當我測試此政策(通過以用戶身份登錄時,我無法執行所需操作)我正在嘗試爲組織中的AWS用戶設置MFA

我在策略代碼片段中缺少什麼?

PS:該策略附加到用戶,我嘗試登錄爲。所以這個愚蠢的錯誤被排除了。

+0

可否請你澄清你所說的「不能執行所需的操作」是什麼意思?你在做什麼,並顯示什麼錯誤? –

+0

@JohnRotenstein我正在嘗試設置IAM策略,以便用戶可以自己配置他/她的賬戶的MFA。 驗證策略時沒有顯示錯誤,只是策略不起作用。所以用戶無法設置MFA。 –

+0

當他們嘗試設置MFA時,他們點擊了什麼?屏幕上顯示什麼?這些按鈕可用嗎?是否顯示任何錯誤消息?請提供比「無法設置MFA」更多的信息。 –

回答

2

這個工作對我來說:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Sid": "AllowEnableResyncDeleteListMFA", 
     "Effect": "Allow", 
     "Action": [ 
     "iam:CreateVirtualMFADevice", 
     "iam:EnableMFADevice", 
     "iam:ResyncMFADevice", 
     "iam:DeleteVirtualMFADevice" 
     ], 
     "Resource": [ 
     "arn:aws:iam::AWS_ACCOUNT_ID:mfa/${aws:username}", 
     "arn:aws:iam::AWS_ACCOUNT_ID:user/${aws:username}" 
     ] 
    }, 
    { 
     "Sid": "AllowDeactivateMFA", 
     "Effect": "Allow", 
     "Action": [ 
     "iam:DeactivateMFADevice" 
     ], 
     "Resource": [ 
     "arn:aws:iam::AWS_ACCOUNT_ID:mfa/${aws:username}", 
     "arn:aws:iam::AWS_ACCOUNT_ID:user/${aws:username}" 
     ], 
     "Condition": { 
     "Bool": { 
      "aws:MultiFactorAuthPresent": true 
     } 
     } 
    }, 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "iam:ListMFADevices", 
     "iam:ListVirtualMFADevices", 
     "iam:ListUsers" 
     ], 
     "Resource": "*" 
    } 
    ] 
} 
+0

這個工作,我將不得不首先允許IAM ReadOnly或IAMFullAccess到用戶配置文件? –

+0

不,不需要允許其他任何事情,因爲在我的政策中已經允許它 –

+1

謝謝。這個對我有用。 我們還可以在用戶開始使用任何其他服務之前添加此部分以強制執行MFA設置。 '{ \t \t 「SID」: 「DoNotAllowAnythingOtherThanAboveUnlessMFAd」, \t \t 「效果」: 「拒絕」, \t \t 「NotAction」: 「IAM:*」, \t \t 「資源」: 「*」, \t \t 「條件」:{ \t \t 「空」:{ \t \t 「AWS:MultiFactorAuthAge」: 「真正的」 \t \t \t \t} \t \t \t} \t \t}' –

相關問題