Отримав завдання по зміні парольної політики та налаштування mfa в AWS. Вирішив коротко описати процес.
Ввімкнення MFA
Стосовно налаштування MFA то є цікавий квест. Політику можна налаштувати таким чином, якщо користувач не налаштує собі mfa, тоді йому буде закритий доступ до сервісі в AWS як з console так і з aws-cli), але це окрема історія і в межах іншого завдання.
Перед початком варто встановити додаток аутентифікатор на ваш мобільний пристрій, без нього налаштувати MFA не вийде, нижче список додатків:
- https://authy.com/
- https://googleauthenticator.net/
- https://www.microsoft.com/nl-nl/security/mobile-authenticator-app
Особисто я користуюся Authy,саме його буду брати за приклад.
Для початку потрібно створити політику для MFA, яка дозволить користувачам самостійно її налаштувати. За замовчуванням звичайному користувачу така можливість не доступна.
Створюємо політику з навою mfa-policy, AWS Console > IAM > Policies > Create Policy:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowViewAccountInfo", "Effect": "Allow", "Action": "iam:ListVirtualMFADevices", "Resource": "*" }, { "Sid": "AllowManageOwnVirtualMFADevice", "Effect": "Allow", "Action": [ "iam:CreateVirtualMFADevice", "iam:DeleteVirtualMFADevice" ], "Resource": "arn:aws:iam::*:mfa/${aws:username}" }, { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }
Переходимо до налаштування MFA. Я якості піддослідного використаємо тестового користувача aws-user.
Входимо в AWS Console під користувачем aws-user, далі в правому верхньому кутку натискаємо на профіль, обираємо Security credentials:
Знаходимо пункт Multi-factor authentication (MFA) та натискаємо Manage MFA Device:
Обираємо Virtual MFA Device, тиснемо Continue:
де:
- virtual mfa device – для використання потрібно скористатися віртуальними додатками аутентифікації;
- security key – використання USB ключа безпеки FIDO;
- other hardware MFA device – фізичний пристрій для MFA, його потрібно купувати окремо;
Відкриваємо додаток Auty на телефоні, обираємо + Add Account > Scan QR Code, скануємо QR Code на екрані.
Варто зауважити, що потрібно ввести два коди, тобто, вводимо перший код який відображає додаток в поле MFA code 1, чекаємо коли додаток згенерує наступний й додаємо його в поле MFA code 2. Далі натискаємо Assign MFA:
Для перевірки логінимось в AWS Console під користувачем aws-user, вводимо логін та пароль
відкривається вікно з MFA code, вводимо код, тиснемо Submit:
MFA налаштовано.
Парольна політика
Інколи в цілях безпеки або внутрішнім політикам безпеки в компанії, параметри за замовчуванням не дуже підходять, тому їх можна змінити. В даному випадку все виконується легко.
Переходимо в IAM > AccountSettings, бачимо з самого верху Password policy, для зміни натискаємо Change:
змінюємо на необхідні нам параметри:
Зберігаємо.
Посилання на тему
- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html
- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html