AWSのドキュメント迷宮すぎてマジ苦手。
課題
AWSにIAMユーザーを追加したがMFA認証の設定権限がないと言われた。どうすればよいか。
対応
既存のポリシー名をMFAで検索しても出てこないのでMFAをサクッと可能にするデフォルトポリシーがないっぽい。 なのでまずポリシーの作成が必要
作成を選んだらJSONタブを選択して以下のURLの内容をコピる
重要
上記URLの内容をコピーしただけだと、アカウント追加後にIAMユーザーがパスワード変更ができなくなる。
なので一番最後の箇所に "iam:IAMUserChangePassword"
を追加する
{ "Sid": "BlockMostAccessUnlessSignedInWithMFA", "Effect": "Deny", "NotAction": [ "iam:CreateVirtualMFADevice", "iam:EnableMFADevice", "iam:ListMFADevices", "iam:ListUsers", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice", "iam:IAMUserChangePassword" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } }
内容を吟味し(あるいは無条件に信じて)、ポリシーの確認ボタンを押下。 ポリシーを作成したら任意のアカウントなりグループなりにアタッチすればOK.