概要
IAMユーザーに対し、MFAの登録を必須化させたい。
対応として作成したポリシーを備忘録として上げる。
どうやって作ったの?
- dataドキュメントを使い、IAMポリシーを作成した。
- 詳細は以下
iam_policy.tf
data "aws_iam_policy_document" "Force_MFA_Policy" {
statement {
effect = "Deny"
not_actions = [
"iam:ResyncMFADevice",
"iam:ListVirtualMFADevices",
"iam:ListMFADevices",
"iam:GetAccountPasswordPolicy",
"iam:EnableMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:DeactivateMFADevice",
"iam:CreateVirtualMFADevice",
"iam:ChangePassword"
]
resources = ["*"]
condition {
test = "BoolIfExists"
variable = "aws:MultiFactorAuthPresent"
values = ["false"]
}
}
}
resource "aws_iam_policy" "Force_MFA_Policy" {
name = "Force_MFA_Policy"
path = "/"
policy = data.aws_iam_policy_document.Force_MFA_Policy.json
tags = {
Name = "Force_MFA_Policy"
}
}
まとめ
上記ポリシーを管理対象者の所属するグループにアタッチすることで、該当者全てがMFAを登録しなければ何も参照できないような動作となることを確認した。
昨今のセキュリティ観点からも、該当者がMFAの必須化を行ってくれるよう促すことも大切。
以上!
最後まで見ていただき、ありがとうございました。
参考文献