AWS আইএএম অ্যাকাউন্টগুলির জন্য আপনার কি এমএফএ প্রয়োজন?

23

অ্যামাজন ওয়েব সার্ভিসেসে নির্দিষ্ট / সমস্ত আইএএম অ্যাকাউন্টগুলির জন্য মাল্টি-ফ্যাক্টর অথেনটিকেশন (এমএফএ) সক্ষম হওয়া কি সম্ভব?

পাসওয়ার্ডের প্রয়োজনীয়তার জন্য বিকল্প রয়েছে এবং এটি স্পষ্ট যে কীভাবে এটি নিজের অ্যাকাউন্টে যুক্ত করতে বেছে নিতে পারে তবে ব্যবহারকারীদের এমএফএ করতে বাধ্য করার কোনও বিকল্প আছে কিনা তা পরিষ্কার নয়।

amazon-web-services  amazon-iam 
জো
সূত্র
আইএএম নীতি যা বেশিরভাগ ক্রিয়াকলাপের জন্য এমএফএ প্রয়োজন: ডকসস.এওএস.মাজোন.com
সাইমন উডসাইড

উত্তর:

13

উত্তর হ্যাঁ, আছে। একটি শর্ত ব্যবহার করে। উদাহরণস্বরূপ, অ্যাডমিন অ্যাকাউন্টগুলির জন্য:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*", 
      "Condition":
      {
          "Null":{"aws:MultiFactorAuthAge":"false"}
      }
    }
  ]
}

এটি API ব্যবহার করে পাসওয়ার্ড প্রমাণীকরণ এবং টোকেন-ভিত্তিক প্রমাণীকরণ উভয়ের জন্য এমএফএ প্রয়োগ করবে।

smad
সূত্র
6
এটি এইভাবে করার জন্য এটি কনসোল এবং এপিআই উভয় অ্যাক্সেসের প্রয়োজন হবে; কেবল কনসোল অ্যাক্সেসের জন্য কি এটির প্রয়োজন হবে ?
জেফবির্নেস
কোন ধারনা নাই. আমি জানি যে এটি এপিআই (সিএলআই) এর জন্য বিরক্তিকর কারণ এমএফএ ভাল সমর্থন করে না। বিটিডাব্লু আমি যদি আরও একটি অ্যাক্সেস পদ্ধতি ব্যবহার করে এটিকে বাইপাস করার উপায় হয়ে থাকে তবে শক্তিশালী সুরক্ষা স্থাপনের বিষয়টি সত্যই আমি দেখতে পাই না।
স্মাড
3
@ এসমাদ আমি মনে করি যে বক্তব্যটি হ'ল টোকেন শংসাপত্রগুলি স্বয়ংক্রিয়ভাবে উত্পন্ন হবে এবং ব্যবহারকারীর হার্ড ড্রাইভে সংরক্ষণ করা হবে সুতরাং একমাত্র আক্রমণকারী ভেক্টর এটি ম্যালওয়্যারের মাধ্যমে, কম্পিউটার চুরি করা ইত্যাদি ব্যবহারকারীর কম্পিউটার থেকে পাবে The অন্যদিকে দুর্বল বা অন্য সাইটগুলিতে পুনরায় ব্যবহৃত হতে পারে, সুতরাং এটি হ'ল সাইট থেকে পাসওয়ার্ড ডাম্প থেকে জোর করে চাপিয়ে দেওয়ার বা তা পাসওয়ার্ড করার অতিরিক্ত আক্রমণকারী ভেক্টর রয়েছে। একটি পাসওয়ার্ড নীতি সাহায্য করতে পারে তবে পিপিএল প্রতিরোধ করা শক্ত যেমন উদাহরণস্বরূপ একটি অভিধান শব্দটি ব্যবহার করে কেবল আমি 1 বা 1 দ্বারা প্রতিস্থাপন করেছি!
ড্যানি
@ জেফবির্নেস যখন আপনি এমএফএর জন্য কোনও ব্যবহারকারীকে সক্ষম করেন, এটি ডিফল্টরূপে কেবল কনসোল অ্যাক্সেসের জন্য সক্ষম হয়। তারপরে আপনাকে API / CLI ক্রিয়াকলাপগুলির এমএফএ প্রয়োজন কিনা তা নির্ধারণ করতে আপনাকে এই জাতীয় আইএম নীতি ব্যবহার করতে হবে।
SeanFromIT
1
আমি নিশ্চিত না যে এটি আর কাজ করছে - কমপক্ষে, যদি না আমি এটি সঠিকভাবে প্রয়োগ না করি! (প্রশাসনিক গোষ্ঠীতে নির্ধারিত একটি নতুন নীতি হিসাবে)। আমার অ্যাকাউন্টে নতুন এবং বিদ্যমান প্রশাসক উভয়ই এমএফএ সেট আপ না করে লগইন করতে সক্ষম হন।
টিম ম্যালোন
8

কিছুটা ঘুরে দেখার পরে দেখা যাচ্ছে উত্তরটি "ধরণের"। আইএএম-তে, প্রশাসক অন্য আইএএম ব্যবহারকারীর জন্য একটি এমএফএ কনফিগার করতে পারেন। যদিও আপনি ভার্চুয়াল এমএফএ স্থাপন করছেন এটি কিছুটা জটিল হতে পারে তবে এটি সম্ভব। তারপরে, যদি ব্যবহারকারীকে তাদের এমএফএ আপডেট / অপসারণের অনুমতি দেওয়া না হয়, তবে এটি কার্যকরভাবে প্রয়োজন।

যদিও আমি এখনও ক্রিয়াগুলির সম্পূর্ণ তালিকা নির্ধারণ করতে পারি নি যা অস্বীকার করা উচিত (বা কেবল মঞ্জুর করা হয়নি), এই পোস্টটিতে তথ্য রয়েছে বলে মনে হচ্ছে এবং আমি এটি উত্তর পরীক্ষা করে নিলে আমি উত্তরটি আপডেট করব।

[হালনাগাদ]

আমি ব্যবহারকারীদের পাওয়ার-ব্যবহারকারী হিসাবে সেটআপ করতে সক্ষম হয়েছি (এর ফলে তাদের আইএএম ফাংশনে অ্যাক্সেস দেওয়া হয়নি, যদিও আমি নিশ্চিত যে আপনি আরও দানাদার পেতে পারেন), এবং তাদের সাথে তাদের এমএফএ বাস্তবায়ন করি। এই পদ্ধতিটি ব্যবহার করে তারা এটিকে অক্ষম করতে সক্ষম হবে।

জো
সূত্র
1
আপনি কি জানেন যে আইএএম ব্যবহারকারীদের নিজেরাই এমএফএ সেটআপ করতে দেওয়া সম্ভব হয়?
অশ্বারোহণে
যদি তা হয় তবে আমি উপায় খুঁজে পাইনি।
জো
2
@ ম্যাটট্যাগ হ্যাঁ এটি সম্ভব, ডকস.ওএস.আমাজোন.com
আইএএম /
1

হ্যাঁ, ওয়েব কনসোল এবং awscliকমান্ড লাইনের জন্য আইএএম অ্যাকাউন্টগুলির জন্য আপনার এমএফএ প্রয়োজন হতে পারে । আসলে, awscliকমান্ড লাইনের জন্য এটির প্রয়োজন না থাকাকালীন ওয়েবে কনসোলটির জন্য নির্ভরযোগ্যভাবে এমএফএ প্রয়োজন হয় না , কারণ উভয়ই একই এপিআইগুলিতে আঘাত করে। আমি বলি 'নির্ভরযোগ্যভাবে' কারণ জটিল আইএএম নীতিমালা দ্বারা awscliওয়েব কনসোলের জন্য এমএফএ প্রয়োগ করার সময় এমএফএ ছাড়া কিছু ক্রিয়াকলাপের অনুমতি দেওয়া সম্ভব । যাইহোক, ফলাফল কিছুটা অপ্রত্যাশিত এবং তদতিরিক্ত, আইএএম কীগুলি আরও বিপজ্জনক অনিরাপদ না হলে সমান। আমার প্রস্তাবটি উভয়ের জন্য এটির প্রয়োজন এবং তারপরে সম্ভবত বিশেষ ব্যবহারের জন্য অরক্ষিত কীগুলি তৈরি করা উচিত যেখানে এমএফএ একেবারেই contraindated। স্বয়ংক্রিয় প্রক্রিয়াগুলির জন্য ভূমিকা সাধারণত ভাল পছন্দ হবে।

কমান্ড লাইনে এমএফএ ক্রিয়াকলাপগুলি আরও সহজ করার জন্য, আমি বাশ স্ক্রিপ্টগুলির একটি সেট তৈরি করেছি এবং সাবধানতার সাথে তৈরি এমএফএ প্রয়োগকারী নীতি উদাহরণ তৈরি করেছি যা ভিএমএফএড সংযুক্ত / বিচ্ছিন্নকরণ এবং এমএফএ সেশনগুলি শুরু এবং পরিচালনা করতে সহজ করে তোলে। এগুলি ম্যাকোস এবং লিনাক্স ভেরিয়েন্টগুলিতে কাজ করে তবে সম্ভবত উইন্ডোজে নেই (পরীক্ষিত নয়)।

Ville,
সূত্র
0

দৃশ্যত না. আইএএম অ্যাকাউন্টগুলির জন্য এমএফএ হ'ল isচ্ছিক, যদিও আপনি অনুমোদনের উত্তরের জন্য এডাব্লুএস সমর্থন ফোরামগুলিতে পোস্ট করার পক্ষে সর্বোত্তম চেষ্টা করবেন।

টম ও'কনোর
সূত্র
লিঙ্কটির জন্য ধন্যবাদ, তবে এটি একবার সক্ষম করার পরে কখন এমএফএ প্রয়োজন হবে সে সম্পর্কে একটি পৃথক প্রশ্নের উত্তর দেয়। এই প্রশ্নটি কার্যকর করা কার্যকর করা যায় কিনা তা নিয়ে is
জো
0

আমরা একটি নথিভুক্ত কয়েক বিবেচনার সাধারণভাবে ডেস্কটপ AWS এপিআই multifactor জন্য কিছু কাস্টম সাধনী দ্বারা প্রয়োগকরণ (জন্য ডকুমেন্টেশনে (যেখানে শর্ত যোগ করতে প্রভাব ইত্যাদি কি হয়) https://github.com/kreuzwerker/awsu ) আমরা Yubikeys ব্যবহার করার জন্য উন্নত TOTP টোকেনগুলির উত্স হিসাবে। এটি ভূমিকা এবং দীর্ঘমেয়াদী শংসাপত্রগুলির সাথে কাজ করে তোলে + সেশন টোকেনগুলি বেশ সহজ।

হাই তোলা
সূত্র
0

গৃহীত উত্তরটি আর বৈধ AFAICT নয়। এডাব্লুএস আপনি এখানে টিউটোরিয়াল নিবন্ধের মাধ্যমে এটি কীভাবে করতে পারেন তা নথিভুক্ত করেছে:

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html

আমি আমার নতুন এডাব্লুএস অ্যাকাউন্ট এবং টিমের জন্য এটি অনুসরণ করেছি এবং এটি দুর্দান্ত কাজ করেছে।

Gowie47
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.