- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
您如何强制 AWS IAM 用户使用 MFA,但允许他们在首次登录时更改密码?
如果你关注AWS Docs , 并强制MFA,新用户在首次获得帐户时无法更改密码。
我知道你可以 force MFA或 not并允许用户管理自己的密码和凭据。此外,AWS 有办法解决此问题,但不推荐这样做:
This example policy does not allow users to reset a password while signing in. New users and users with an expired password might try to do so. You can allow this by adding iam:ChangePassword to the statement DenyAllExceptListedIfNoMFA. However, IAM does not recommend this. Allowing users to change their password without MFA can be a security risk.
那么“推荐”的方式是什么?
这个问题也是asked in AWS forum没有真正的答案。
最佳答案
这里推荐的路径是使用SSO / identity federation ,但我提出了一个手动的单一策略解决方案,如果您还没有 SSO,它可以让您更轻松地进行管理。我的解决方案仍然存在风险,但它的范围仅限于初始帐户设置过程。它涉及使用 NewUser
标签手动标记新 IAM 用户,然后在他们重置密码和配置 MFA 后手动取消标记。
编辑您的 "Sid": "DenyAllExceptListedIfNoMFA"
block 所在的 MFA 策略,并将其替换为以下内容:
{
"Sid": "DenyAllExceptListedIfNoMFAAndNewUser",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken",
"iam:ChangePassword"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
},
"StringNotEqualsIfExists": {
"iam:ResourceTag/NewUser": "true"
}
}
}
创建一个新用户并添加一个 NewUser
标签,并将值设置为 true
。
将凭据发送给新用户。在他们首次登录后,从他们的 IAM 用户资源中删除 NewUser
标签。
关于amazon-web-services - AWS IAM 强制 MFA 但允许第一次更改密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58419094/
我为我的特定 Azure 应用程序启用了 MFA(多重身份验证)。第一次登录 Azure 的用户,为这些用户启用 MFA。如何为所有现有用户启用 MFA(多重身份验证)。请指导我。 如果我从后端为某些
有没有办法收集 MFA 服务器(本地)的 MFA 状态?例如注册、未注册用户。 我从 Microsoft 找到了以下 cmdlet,但这仅适用于 Azure MFA 云用户,不适用于 MFA 服务器。
我正在尝试创建一个受 MFA 保护的角色,授予 AdministratorAccess 可由另一个用户承担。我可以用它来定义角色的用户和权限策略。但是,当我定义 MFA 要求时,主体和允许的操作在权限
我关注了https://github.com/azure-ad-b2c/samples/tree/master/policies/custom-mfa-totp在azure B2C中构建MFA并且运行
我找到了一个使用 OKTA's Sign-in Widget 构建 Angular 4 应用程序的教程.太棒了,我向所有刚接触 OKTA 的人推荐它。 你可以在这个 URL 找到它: https://
我认为拥有一个有权删除包含所有客户项目的整个托管环境的帐户是疯狂的。鉴于此,我需要尽可能保护这个帐户。 我知道可以为 Azure 帐户启用多重身份验证。我想为我们的 Azure 订阅管理员帐户执行此操
我有 Azure 订阅。我是唯一使用此订阅的人。我已使用 Microsoft 身份验证器应用程序启用了 MFA,但是我丢失了安装该应用程序的手机。有哪些选项可用于再次登录订阅? 最佳答案 MFA 不绑
我想实现 MFA 以在 .NET 代码中对 Azure Active Directory 帐户进行身份验证,而无需使用浏览器。有没有可以用于此目的的库?可用的 ADAL 库方法(授权代码流和设备代码流
在我的一个项目中,我需要实现登录升级。这意味着用户可以使用简单的用户名和密码登录应用程序,以获得对网站及其背后 API 的一些只读访问权限。 如果用户想要执行任何像“写入/更新”这样的敏感数据操作,他
我有一个带有 secret PII(社会安全号码、工资单信息)的应用程序。为方便起见,我想让用户使用 OAuth ID(Google、Linked In)登录,但要求这些帐户在身份提供者中启用多因素身
我正在使用 Azure 服务和 Azure AD Free(我的个人帐户)。我已经设置了一个租户,并且我是全局管理员。我已在租户中启用安全默认。因此,我假设为所有租户的用户启用了 MFA。当我使用全局
我希望将 Azure AD B2C 中使用的 Azure MFA“调用我”功能中使用的区域设置切换为 en-GB,而不是默认的 en-US (指“按英镑符号”,这不是我们在英国使用的术语)。看来您所能
我只是想知道,我们是否可以使用两个电子邮件地址(提供备用电子邮件地址)在 Azure Active Directory B2C 的自定义策略中进行多重身份验证,就像两个电话号码一样。可以这样做吗? 在
编写以下脚本以获取所有管理员的 MFA 状态。效果很好。但我想使用服务主体的凭据来运行它,并且看起来 Connect-MsolService 没有选项可以执行此操作。或者,Connect-AzAcco
我已设置默认登录和注册流程。我还启用了 mfa。 这很好用。是否可以将 MFA 配置为仅用于注册而不用于登录? 仅在更改密码或访问应用中的某些页面时才需要 MFA。 问候斯特凡 最佳答案 如果您使用内
我必须使用自定义电子邮件模板,因此我在自定义策略中添加了显示控件,现在我因此遇到了以下问题。 当用户登录时,会出现带有空文本框的 MFA 页面。我希望它能够自动填充。我按照Populate the e
我有一个堡垒服务器,使用 google-authenticator 服务启用了 MFA。但我无法通过我的堡垒使用 proxycommand: > ssh -vvv -i ~/.ssh/file.pem
我在 Web 应用程序中自动化登录过程时遇到了一些困难。这是一个有角度的应用程序,我正在用 Protractor 编写测试。该应用程序使用 Azure AD,因此我需要从移动应用程序传递电子邮件、密码
我正在开发一个 react/aws amplify 应用程序。我想实现基于电子邮件的 MFA 身份验证流程。从我在 aws 文档上看到的,似乎唯一的选择是基于文本的 MFA 或 TOTP。 有没有一种
我们的客户使用 Azure AD 进行操作,并希望将 Azure AD MFA 集成到我们的 Web 应用程序 (PHP) 中以提高安全性。不使用 Microsoft 身份平台 (SSO) 是否可以实
我是一名优秀的程序员,十分优秀!