AWS IAM 總算能掛多個 MFA 進同一個帳號了
source link: https://blog.gslin.org/archives/2022/11/19/10960/aws-iam-%e7%b8%bd%e7%ae%97%e8%83%bd%e6%8e%9b%e5%a4%9a%e5%80%8b-mfa-%e9%80%b2%e5%90%8c%e4%b8%80%e5%80%8b%e5%b8%b3%e8%99%9f%e4%ba%86/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
AWS IAM 總算能掛多個 MFA 進同一個帳號了
AWS IAM 總算可以掛多個 MFA 到同一個帳號下了:「You can now assign multiple MFA devices in IAM」。
先前的 workaround 是開多個一樣權限的帳號,一個帳號掛 TOTP MFA,另外的每個帳號掛一隻 U2F MFA,但偶而會遇到會認 IAM account 的權限檢查,就會比較麻煩...
先說明一下,目前這個功能看起來還在 rolling update (也有可能是 bug?),我的公司帳號就成功把本來只有 TOTP MFA 的加掛 U2F MFA 上去,但我自己的 AWS 帳號就怎麼樣都看不到這個新功能。
這是加好的:
這是我自己的 AWS 帳號,沒有像上面那樣可以管理多個 MFA,而點開 Manage 也只會看到移除的選項:
到另外一個掛 U2F MFA 的帳號下一樣也看不到:
另外我在刪除 IAM 帳號時也發現會有無法刪除 MFA 設定的錯誤訊息 (但點進去看 IAM user 可以確認 MFA 已經背山掉了),這時候再刪一次就會成功,看起來 console bug 還不少... 也許再放個兩天看看?
Related
IAM 帳號總算可以管理帳務了...
昨天 AWS 推出的新功能,讓 IAM 帳號可以使用 AWS Billing Console:「Additional IAM Support in the AWS Billing Console」。 這樣每個月報帳的時候就可以用 IAM 帳號登入進去看,而非用母帳號... 多了六個權限設定:{View,Modify}{Billing,Account,PaymentMethods},這六個權限都跟帳戶與帳務有關。
July 9, 2014In "AWS"
開 S3 bucket 與 IAM 帳號的工具
看到 Simon Willison 的「s3-credentials: a tool for creating credentials for S3 buckets」這篇,裡面講到了幾件事情。 在 AWS 上比較好的安全設計是,不同專案之間都有自己的 S3 bucket,然後建立對應的 IAM user,每個 IAM user 只能存取自己的 S3 bucket。 但這個建立過程很煩: Creating those credentials is surprisingly difficult! 整個建立的過程包括了四個步驟: 建立 S3 bucket。 建立 IAM user。 將 IAM user 掛上對應的 S3 權限。 建立 IAM user 的 access key。…
November 6, 2021In "AWS"
CodeDeploy 的權限設定...
這陣子在弄 AWS CodeDeploy,調整了半天才把權限壓低到合理的範圍 (AWS 給的預設值還是有點大),記錄下來之後會比較好找... 在權限部份,AWS CodeDeploy 應該有三個權限要設定: IAM user:給 CI 跑完後丟上 Amazon S3 並且呼叫 AWS CodeDeploy 佈署用的,像是 Travis CI 或是之類的服務。但如果是手動到 web console 觸發的話,這個部份就不需要了。 Service Role:給 AWS CodeDeploy 的服務本身用的。 EC2 Role:給跑在機器上 AWS CodeDeploy Agent 用的。 如同前面講的,IAM user 的部份有兩個要處理,一個是讓 CI 服務把檔案傳上 Amazon S3,另外一個是讓他有權限可以呼叫 AWS CodeDeploy 佈署新版本。 後者比較簡單,直接拉 AWSCodeDeployDeployerAccess 就可以了,前者比較麻煩一點,需要透過 Policy Generator…
February 4, 2017In "AWS"
Leave a Reply
Your email address will not be published. Required fields are marked *
Comment *
Name *
Email *
Website
Notify me of follow-up comments by email.
Notify me of new posts by email.
To respond on your own website, enter the URL of your response which should contain a link to this post's permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post's URL again. (Learn More)
Post navigation
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK