Comment créer une stratégie pour activer l'authentification multifactorielle (AMF) ou « MFA » pour les utilisateurs non-administrateurs avec le Stockage Objet Infonuagique propulsé par Wasabi


Description

Par défaut, l'authentification multifactorielle (AMF) ou « MFA » ne peut pas être activée pour les sous-utilisateurs n’ayant pas un accès administrateur.

Graphical user interface, text, application, email Description automatically generated

Voici la procédure pour créer une stratégie pour accorder l'accès aux paramètres (AMF) ou « MFA » aux utilisateurs non administrateurs.

Procédure

  1. Connectez-vous à la console Wasabi à l'aide de vos informations d'identification (en utilisant le compte racine ou « root » ou à l’aide d’un sous-utilisateur ayant un accès administrateur).

    Graphical user interface, text Description automatically generated
     
  2. Allez dans la section Stratégies et cliquez sur CRÉER UNE STRATÉGIE.

    Graphical user interface, application Description automatically generated

  3. Entrez un nom et une description pour la stratégie (Politique).

    Note : En plus de certains caractères spéciaux, les accents ne sont pas permis dans le nom ou la description de la stratégie.

    Dans cet exemple, le nom de la stratégie est "Activer_MFA"

    Graphical user interface, application Description automatically generated
     
  4. Copiez le code JSON ci-dessous et collez-le dans la section Éditeur de politique.

Ensuite, cliquez sur CRÉER UNE STRATÉGIE.



 {

  "Version": "2012-10-17",

   "Statement": [

    {

       "Sid": "AllowListActions",

       "Effect": "Allow",

       "Action": [

         "iam:ListUsers",

         "iam:ListVirtualMFADevices"

       ],

       "Resource": "*"

    },

    {

       "Sid": "AllowIndividualUserToListOnlyTheirOwnMFA",

       "Effect": "Allow",

       "Action": "iam:ListMFADevices",

       "Resource": [

         "arn:aws:iam::*:mfa/*",

         "arn:aws:iam::*:user/${aws:username}"

      ]

    },

    {

       "Sid": "AllowIndividualUserToManageTheirOwnMFA",

       "Effect": "Allow",

       "Action": [

         "iam:CreateVirtualMFADevice",

         "iam:DeleteVirtualMFADevice",

         "iam:EnableMFADevice",

         "iam:ResyncMFADevice"

       ],

       "Resource": [

         "arn:aws:iam::*:mfa/${aws:username}",

         "arn:aws:iam::*:user/${aws:username}"

      ]

    },

    {

       "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",

       "Effect": "Allow",

       "Action": "iam:DeactivateMFADevice",

       "Resource": [

         "arn:aws:iam::*:mfa/${aws:username}",

         "arn:aws:iam::*:user/${aws:username}"

       ],

       "Condition": {

         "Bool": {

           "aws:MultiFactorAuthPresent": "true"

         }

      }

    }

  ]

}

Graphical user interface, text, application Description automatically generated

5. Attribuez la stratégie aux utilisateurs ou groupes selon vos besoins.

Veuillez vous référer à l'article pour la création de groupes et l’assignation de stratégies au besoin.