Objetivo:
Mostrar a IAM Policy que permite usuários gerenciarem seus dispositivos MFA. Esta Policy fornece as permissões para as ações sobre dispositivos de MFA através de AWS APIs e CLI.
Criação Policy que permita gerenciar o MFA
Na console IAM → Policies → Create Police
Clique em JSON → Entre com o código abaixo → Next
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ResyncMFADevice",
"iam:DeleteVirtualMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Effect": "Allow"
},
{
"Action": [
"iam:DeactivateMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Effect": "Allow",
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
},
{
"Action": [
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ListUsers"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
Clique em Next
Entre com o nome da Policy → Descrição → Cliquem em Create policy
Atribua a Policy recém-criada aos usuários do IAM que necessitam do permissionamento e ainda não tem.
Referência: https://asecure.cloud/a/iam_iam_3/
It’s done!
