안녕하세요?
곰군 입니다.
보안 관련해서 MFA(다단계인증) 적용을 필수로 해야한다는 이야기가 많습니다.
특히 어드민 계정에 대해서는 MFA가 정말 필수입니다.
하지만 개개인은 MFA를 등록하면 접근이 불편하기 때문에 잘 등록 안하려는 경향이 있습니다.
그래서 AWS IAM사용자가 MFA (다단계 인증) 를 강제 지정하기 위해서는,
MFA 없이 접근할 때 다른 작업에 대한 제한을 거는 방법을 사용해야합니다.
현재까지는 콘솔이나 IAM 자체에서 MFA가 없으면 접속을 못하는 기능이나 정책을 관리형으로 지원하고 있지 않아서,
개별로 정책을 설정해서 진행해야 합니다.
다음 정책을 적용하면 MFA 활성화 되지 않은 IAM 계정에 대해서 대부분의 작업을 제한할 수 있습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowViewAccountInfo",
"Effect": "Allow",
"Action": [
"iam:GetAccountPasswordPolicy",
"iam:ListVirtualMFADevices"
],
"Resource": "*"
},
{
"Sid": "AllowManageOwnPasswords",
"Effect": "Allow",
"Action": [
"iam:ChangePassword",
"iam:GetUser"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnAccessKeys",
"Effect": "Allow",
"Action": [
"iam:CreateAccessKey",
"iam:DeleteAccessKey",
"iam:ListAccessKeys",
"iam:UpdateAccessKey"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnSigningCertificates",
"Effect": "Allow",
"Action": [
"iam:DeleteSigningCertificate",
"iam:ListSigningCertificates",
"iam:UpdateSigningCertificate",
"iam:UploadSigningCertificate"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnSSHPublicKeys",
"Effect": "Allow",
"Action": [
"iam:DeleteSSHPublicKey",
"iam:GetSSHPublicKey",
"iam:ListSSHPublicKeys",
"iam:UpdateSSHPublicKey",
"iam:UploadSSHPublicKey"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnGitCredentials",
"Effect": "Allow",
"Action": [
"iam:CreateServiceSpecificCredential",
"iam:DeleteServiceSpecificCredential",
"iam:ListServiceSpecificCredentials",
"iam:ResetServiceSpecificCredential",
"iam:UpdateServiceSpecificCredential"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnVirtualMFADevice",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice"
],
"Resource": "arn:aws:iam::*:mfa/*"
},
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken",
"codecommit:GitPull",
"codecommit:GitPush",
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
'Cloud' 카테고리의 다른 글
| EKS클러스터 챌린지! (0) | 2023.11.04 |
|---|---|
| 2023 Google Cloud Study Jam 쿠버네티스 심화과정 수료!! (0) | 2023.09.15 |
| 리버스테라포밍(Terraforming)을 위한 발걸음..feat. 테라코그니타 (0) | 2023.05.17 |
| Terraform 로그 레벨 변경하기 - Windows 환경 (0) | 2023.03.24 |
| AWS 버스트, 버스트 크레딧 쉽게 이해하기! (2) | 2022.12.23 |
댓글