如何在 CloudFormation 中启用 VirtualMFADevice？

Posted 2023-02-19

【中文标题】如何在 CloudFormation 中启用 VirtualMFADevice？

【英文标题】：How do I enable VirtualMFADevice in CloudFormation?

【发布时间】：2022-01-13 03:55:56

【问题描述】：

我有一个 CloudFormation 脚本，可以创建新用户（包括角色、策略等）。

我希望确保新用户启用了 MFA。 docs 提到您必须“在创建 MFA 后将 MFA 设备附加到 IAM 用户”（即使有如下 Users 属性？）但他们只指出如何在控制台和 CLI 中执行此操作.

  Type: AWS::IAM::VirtualMFADevice
    Properties:
      Users:
          - !Ref user1
          - !Ref user2
      VirtualMfaDeviceName: Something

CloudFormation 可能不支持此操作吗？

【参考方案1】：

MFA 设备是用户自己管理的东西。为了确保用户启用了 MFA，您可以使用IAM Policy。亚马逊的这个示例策略明确拒绝用户的所有权限（即使有其他策略允许），除非他们启用了 MFA。唯一允许的是管理他们自己的 MFA 设备，以便他们可以为自己添加设备。这些是用于管理其 MFA 设备的用户的details。

【讨论】：

这绝对是实现它的一种方法，感谢@kgiannakakis 热衷于正确理解 CloudFormation 角度以及如何（或者甚至！？）这意味着要使用......

您说得对，AWS::IAM::VirtualMFADevice 的文档至少不完整。我不知道如何使用它，因为似乎没有办法设置种子信息。但是，对于与秘密创建有关的任何事情，您不能只使用 Cloud Formation 来完成。 Cloud Formation 无法存储安全信息，因此您需要将其与其他内容结合使用。

是的，我已经将 CloudFormation 与 SecretsManager 集成，没问题：+1 这确实是一种完全自动化的方法，我一直在努力理解我错过了什么。但也许你是对的，文档有些不完整？我可能需要联系 AWS Support 并让他们的一位工程师推荐最佳的自动预置方法。非常感谢您的 cmets。