新しいユーザーに IAM ユーザー名と一時的な資格情報を送信し、パスワードを変更するように要求し、コンソールの他のものにアクセスする前に独自の仮想 MFA を構成するように要求したいと考えています。
1)ユーザーを作成するときに、明らかに一時パスワードを生成し、最初のログイン時にパスワードを変更するように要求できます。Security Credentials-->Manage Password-->'Require user to create a new password at next sign-in'.
2) 次のポリシーは、IAM ユーザーが自分のパスワードを変更することを許可します。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:ChangePassword",
"iam:GetAccountPasswordPolicy"
],
"Resource": "*"
}
}
3) 次のポリシーでは、ユーザーは自分の仮想 mfa デバイスのみを管理できます。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowUsersToCreateEnableResyncDeleteTheirOwnVirtualMFADevice",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ResyncMFADevice",
"iam:DeleteVirtualMFADevice"
],
"Resource": [
"arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}",
"arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
]
},
{
"Sid": "AllowUsersToDeactivateTheirOwnVirtualMFADevice",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice"
],
"Resource": [
"arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}",
"arn:aws:iam::account-id-without-hyphens:user/${aws:username}"
],
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": true
}
}
},
{
"Sid": "AllowUsersToListMFADevicesandUsersForConsole",
"Effect": "Allow",
"Action": [
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
上記の 3 つの方法を使用して、パスワードの変更を要求し、独自の仮想 MFA デバイスを構成できるようにすることができますが、MFA の構成を要求する方法があるかどうかはわかりません。