[追記]
添付画像の左メニュー > ユーザー > 認証情報 から「MFAデバイスの割り当て」を選択しようとすると権限が不足している旨のエラーが表示されます。
こちらは権限不足というよりは、「そのIAMユーザーに対するMFA設定はすでに存在している」というエラーかと思います。
参考にされていたページにも下記の記述がありますので、同様の事象ではないか確認いただけますでしょうか。
なお、MFAを有効化してからListMFADevicesの許可を削除してしまうと、「Management Console上ではMFAが関連づけられていないように見えるが、じつは関連づけられている」という最高の状態になってハマりますので、注意してください。「MFADevice entity at the same path and name already exists.」というエラーが表示されたら、その状況に陥っていないか確認してください。
上記エラーが出る原因として、下記の2種があるかと考えています。
●すでにMFA設定が存在している
●MFA設定を参照するための権限設定が誤っている
前者は、対象のIAMユーザーではなく管理者用のIAMなどで確認が取れるかと思います。
前者でなければ、後者に関しては「ListMFADevices」というAPIが関係してくるようですので、
参考ページの27-38行目のあたりの設定が誤っていないか確認いただけますでしょうか。
(http://dev.classmethod.jp/cloud/aws/iam-mfa-policy/)
{
"Effect": "Allow",
"Action": [
"iam:EnableMFADevice",
"iam:DeactivateMFADevice",
"iam:ResyncMFADevice",
"iam:ListMFADevices"
],
"Resource": [
"arn:aws:iam::012345678901:user/${aws:username}"
]
},
#追記
自身でも確認してみましたが、問題なくMFAの設定が可能でした。
- テストポリシー作成
- ポリシーの中身は、後述"ポリシー詳細"の[012345678901]を自身のアカウント番号に置き換えたもの
- IAMユーザー「test-user」作成
- 「test-user」にテストポリシーのみをアタッチ
- 「test-user」によるサインイン
- [IAM]→[ユーザー]→[test-user]→[認証情報]→[MFAデバイスの割り当て]
- 仮想MFAデバイスを選択し、Google Authenticatorの登録実施
- 「MFA デバイスは正常に関連付けられました。」ダイアログ確認
- サインアウト→再度サインイン時にMFAが求められ、無事サインインできることを確認
##ポリシー詳細
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"NotAction": "iam:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:ListUsers"
],
"Resource": [
"arn:aws:iam::012345678901:user/"
]
},
{
"Effect": "Allow",
"Action": [
"iam:ListVirtualMFADevices"
],
"Resource": [
"arn:aws:iam::012345678901:mfa/"
]
},
{
"Effect": "Allow",
"Action": [
"iam:EnableMFADevice",
"iam:DeactivateMFADevice",
"iam:ResyncMFADevice",
"iam:ListMFADevices"
],
"Resource": [
"arn:aws:iam::012345678901:user/${aws:username}"
]
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteVirtualMFADevice",
"iam:CreateVirtualMFADevice"
],
"Resource": [
"arn:aws:iam::012345678901:mfa/${aws:username}"
]
}
]
}