AWSのドキュメント迷宮すぎてマジ苦手。
課題
AWSにIAMユーザーを追加したがMFA認証の設定権限がないと言われた。どうすればよいか。
対応
既存のポリシー名をMFAで検索しても出てこないのでMFAをサクッと可能にするデフォルトポリシーがないっぽい。 なのでまずポリシーの作成が必要
作成を選んだらJSONタブを選択して以下のURLの内容をコピる
重要
上記URLの内容をコピーしただけだと、アカウント追加後にIAMユーザーがパスワード変更ができなくなる。
なので一番最後の箇所に "iam:IAMUserChangePassword" を追加する
{
"Sid": "BlockMostAccessUnlessSignedInWithMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"iam:IAMUserChangePassword"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
内容を吟味し(あるいは無条件に信じて)、ポリシーの確認ボタンを押下。 ポリシーを作成したら任意のアカウントなりグループなりにアタッチすればOK.
