Отримав завдання по зміні парольної політики та налаштування mfa в AWS. Вирішив коротко описати процес.

Ввімкнення MFA

Стосовно налаштування MFA то є цікавий квест. Політику можна налаштувати таким чином, якщо користувач не налаштує собі mfa, тоді йому буде закритий доступ до сервісі в AWS як з console так і з aws-cli), але це окрема історія і в межах іншого завдання.

Перед початком варто встановити додаток аутентифікатор на ваш мобільний пристрій, без нього налаштувати MFA не вийде, нижче список додатків:

• https://authy.com/
• https://googleauthenticator.net/
• https://www.microsoft.com/nl-nl/security/mobile-authenticator-app

Особисто я користуюся Authy,саме його буду брати за приклад.

Для початку потрібно створити політику для MFA, яка дозволить користувачам самостійно її налаштувати. За замовчуванням звичайному користувачу така можливість не доступна.

Створюємо політику з навою mfa-policy, AWS Console > IAM > Policies > Create Policy:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": "iam:ListVirtualMFADevices",
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Переходимо до налаштування MFA. Я якості піддослідного використаємо тестового користувача aws-user.

Входимо в AWS Console під користувачем aws-user, далі в правому верхньому кутку натискаємо на профіль, обираємо Security credentials:

Знаходимо пункт Multi-factor authentication (MFA) та натискаємо Manage MFA Device:

Обираємо Virtual MFA Device, тиснемо Continue:

де:

• virtual mfa device – для використання потрібно скористатися віртуальними додатками аутентифікації;
• security key – використання USB ключа безпеки FIDO;
• other hardware MFA device – фізичний пристрій для MFA, його потрібно купувати окремо;

Відкриваємо додаток Auty на телефоні, обираємо  + Add Account > Scan QR Code, скануємо QR Code на екрані.
Варто зауважити, що потрібно ввести два коди, тобто, вводимо перший код який відображає додаток в поле MFA code 1, чекаємо коли додаток згенерує наступний й додаємо його в поле MFA code 2. Далі натискаємо Assign MFA:

Для перевірки логінимось в AWS Console під користувачем aws-user, вводимо логін та пароль

відкривається вікно з MFA code,  вводимо код, тиснемо Submit:

MFA налаштовано.

Парольна політика

Інколи в цілях безпеки або внутрішнім політикам безпеки в компанії, параметри за замовчуванням не дуже підходять, тому їх можна змінити. В даному випадку все виконується легко.

Переходимо в IAM > AccountSettings, бачимо з самого верху Password policy, для зміни натискаємо Change:

змінюємо на необхідні нам параметри:

Зберігаємо.

Посилання на тему

• https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html
• https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html