回答編集履歴
1
追記
answer
CHANGED
|
@@ -33,4 +33,73 @@
|
|
|
33
33
|
"arn:aws:iam::012345678901:user/${aws:username}"
|
|
34
34
|
]
|
|
35
35
|
},
|
|
36
|
+
```
|
|
37
|
+
|
|
38
|
+
|
|
39
|
+
#追記
|
|
40
|
+
自身でも確認してみましたが、問題なくMFAの設定が可能でした。
|
|
41
|
+
|
|
42
|
+
- テストポリシー作成
|
|
43
|
+
- ポリシーの中身は、後述"ポリシー詳細"の[012345678901]を自身のアカウント番号に置き換えたもの
|
|
44
|
+
- IAMユーザー「test-user」作成
|
|
45
|
+
- 「test-user」にテストポリシーのみをアタッチ
|
|
46
|
+
- 「test-user」によるサインイン
|
|
47
|
+
- [IAM]→[ユーザー]→[test-user]→[認証情報]→[MFAデバイスの割り当て]
|
|
48
|
+
- 仮想MFAデバイスを選択し、Google Authenticatorの登録実施
|
|
49
|
+
- 「MFA デバイスは正常に関連付けられました。」ダイアログ確認
|
|
50
|
+
- サインアウト→再度サインイン時にMFAが求められ、無事サインインできることを確認
|
|
51
|
+
|
|
52
|
+
##ポリシー詳細
|
|
53
|
+
|
|
54
|
+
```ポリシー詳細
|
|
55
|
+
{
|
|
56
|
+
"Version": "2012-10-17",
|
|
57
|
+
"Statement": [
|
|
58
|
+
{
|
|
59
|
+
"Effect": "Allow",
|
|
60
|
+
"NotAction": "iam:*",
|
|
61
|
+
"Resource": "*"
|
|
62
|
+
},
|
|
63
|
+
{
|
|
64
|
+
"Effect": "Allow",
|
|
65
|
+
"Action": [
|
|
66
|
+
"iam:ListUsers"
|
|
67
|
+
],
|
|
68
|
+
"Resource": [
|
|
69
|
+
"arn:aws:iam::012345678901:user/"
|
|
70
|
+
]
|
|
71
|
+
},
|
|
72
|
+
{
|
|
73
|
+
"Effect": "Allow",
|
|
74
|
+
"Action": [
|
|
75
|
+
"iam:ListVirtualMFADevices"
|
|
76
|
+
],
|
|
77
|
+
"Resource": [
|
|
78
|
+
"arn:aws:iam::012345678901:mfa/"
|
|
79
|
+
]
|
|
80
|
+
},
|
|
81
|
+
{
|
|
82
|
+
"Effect": "Allow",
|
|
83
|
+
"Action": [
|
|
84
|
+
"iam:EnableMFADevice",
|
|
85
|
+
"iam:DeactivateMFADevice",
|
|
86
|
+
"iam:ResyncMFADevice",
|
|
87
|
+
"iam:ListMFADevices"
|
|
88
|
+
],
|
|
89
|
+
"Resource": [
|
|
90
|
+
"arn:aws:iam::012345678901:user/${aws:username}"
|
|
91
|
+
]
|
|
92
|
+
},
|
|
93
|
+
{
|
|
94
|
+
"Effect": "Allow",
|
|
95
|
+
"Action": [
|
|
96
|
+
"iam:DeleteVirtualMFADevice",
|
|
97
|
+
"iam:CreateVirtualMFADevice"
|
|
98
|
+
],
|
|
99
|
+
"Resource": [
|
|
100
|
+
"arn:aws:iam::012345678901:mfa/${aws:username}"
|
|
101
|
+
]
|
|
102
|
+
}
|
|
103
|
+
]
|
|
104
|
+
}
|
|
36
105
|
```
|