【AWS】IAMユーザ本人にMFAを管理してもらうためのIAMポリシー設定方法

Amazon MFAを使用してマネジメントコンソールへの二段階認証の運用を実現したいと考えています。
プロジェクトに参加している全ての開発者に対し、適切な権限を割り振った個別のアカウントを払い出す予定です。

開発者が各自でMFAのデバイス登録を行うためにはIAMFullAccessポリシーを付与する必要があるのですが、このポリシーを付与してしまうと、他のユーザの権限を操作できてしまいます。

IAMFullAccessポリシーを付与せずに開発者各自にMFAデバイス登録を行わせる方法はあるでしょうか？
以下URLを参考に作成したポリシーを開発者のアカウントに付与しましたが、添付ファイルのエラーが表示されてしまいます。

http://dev.classmethod.jp/cloud/aws/iam-mfa-policy/

行った手順としては、

1.IAM ＞ポリシーの作成＞独自ポリシーの作成から上記サイトに記載のあるポリシードキュメントをコピー
2.作成したポリシーを対象ユーザに割り振る
3.対象ユーザでマネジメントコンソールにログインし、MFAのデバイス登録ができることを確認 → 失敗（添付画像）

IAMユーザ本人にMFAを管理してもらうためのIAMポリシー設定方法についてご教授いただければ幸いです。

[追記]
添付画像の左メニュー＞ユーザー＞認証情報から「MFAデバイスの割り当て」を選択しようとすると権限が不足している旨のエラーが表示されます。

batchi

2017/02/16 05:46

添付された画像の画面において、通常であれば左側のペインに「ダッシュボード」「グループ」「ユーザー」「ロール」「ポリシー」…といった項目が並んでいるかと思います。対象ユーザでログインした際にはそういった項目も表示されないでしょうか？（もしNoであれば、「ユーザー」から自身のIAMユーザーを選択し、MFA設定が行えるのでは…と考えています。）

行動規範の内容に同意します

回答1件

ベストアンサー

[追記]
添付画像の左メニュー＞ユーザー＞認証情報から「MFAデバイスの割り当て」を選択しようとすると権限が不足している旨のエラーが表示されます。

こちらは権限不足というよりは、「そのIAMユーザーに対するMFA設定はすでに存在している」というエラーかと思います。

参考にされていたページにも下記の記述がありますので、同様の事象ではないか確認いただけますでしょうか。

なお、MFAを有効化してからListMFADevicesの許可を削除してしまうと、「Management Console上ではMFAが関連づけられていないように見えるが、じつは関連づけられている」という最高の状態になってハマりますので、注意してください。「MFADevice entity at the same path and name already exists.」というエラーが表示されたら、その状況に陥っていないか確認してください。

上記エラーが出る原因として、下記の2種があるかと考えています。

●すでにMFA設定が存在している
●MFA設定を参照するための権限設定が誤っている

前者は、対象のIAMユーザーではなく管理者用のIAMなどで確認が取れるかと思います。

前者でなければ、後者に関しては「ListMFADevices」というAPIが関係してくるようですので、
参考ページの27-38行目のあたりの設定が誤っていないか確認いただけますでしょうか。
（http://dev.classmethod.jp/cloud/aws/iam-mfa-policy/）

        {
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:DeactivateMFADevice",
                "iam:ResyncMFADevice",
                "iam:ListMFADevices"
            ],
            "Resource": [
                "arn:aws:iam::012345678901:user/${aws:username}"
            ]
        },

#追記
自身でも確認してみましたが、問題なくMFAの設定が可能でした。

テストポリシー作成
ポリシーの中身は、後述"ポリシー詳細"の[012345678901]を自身のアカウント番号に置き換えたもの
IAMユーザー「test-user」作成
「test-user」にテストポリシーのみをアタッチ
「test-user」によるサインイン
[IAM]→[ユーザー]→[test-user]→[認証情報]→[MFAデバイスの割り当て]
仮想MFAデバイスを選択し、Google Authenticatorの登録実施
「MFA デバイスは正常に関連付けられました。」ダイアログ確認
サインアウト→再度サインイン時にMFAが求められ、無事サインインできることを確認

##ポリシー詳細

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "NotAction": "iam:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers"
            ],
            "Resource": [
                "arn:aws:iam::012345678901:user/"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": [
                "arn:aws:iam::012345678901:mfa/"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:DeactivateMFADevice",
                "iam:ResyncMFADevice",
                "iam:ListMFADevices"
            ],
            "Resource": [
                "arn:aws:iam::012345678901:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:DeleteVirtualMFADevice",
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::012345678901:mfa/${aws:username}"
            ]
        }
    ]
}

投稿2017/02/16 08:29

編集2017/02/17 06:42

batchi

総合スコア172