Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Amazon EC2: Membutuhkan MFA (GetSessionToken) untuk operasi tertentu EC2
Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan akses penuh ke semua operasi AWS API di Amazon. EC2 Namun, itu secara tegas menolak akses ke StopInstances dan TerminateInstances Operasi API jika pengguna tidak diautentikasi menggunakan Multi-Factor Authentication (MFA). Untuk melakukan ini secara terprogram, pengguna harus menyertakan nilai opsional SerialNumber dan TokenCode saat memanggil operasi GetSessionToken. Operasi ini mengembalikan kredensial sementara yang diautentikasi menggunakan MFA. Untuk mempelajari lebih lanjut tentang GetSessionToken, lihatMeminta kredensi untuk pengguna di lingkungan yang tidak tepercaya.
Apa yang dikerjakan oleh kebijakan ini?
-
AllowAllActionsForEC2Pernyataan itu memungkinkan semua EC2 tindakan Amazon. -
Pernyataan
DenyStopAndTerminateWhenMFAIsNotPresentmenolak tindakanStopInstancesdanTerminateInstancessaat konteks MFA hilang. Ini berarti tindakan tersebut ditolak saat konteks multi-factor authentication hilang (artinya MFA tidak digunakan). Penolakan mennimpa izin.
catatan
Pemeriksaaan ketentuan untuk MultiFactorAuthPresent dalam pernyataan Deny tidak boleh berupa {"Bool":{"aws:MultiFactorAuthPresent":false}} karena kunci tersebut tidak ada dan tidak dapat dievaluasi saat MFA tidak digunakan. Sebagai gantinya, gunakan periksa BoolIfExists untuk melihat apakah kuncinya ada sebelum memeriksa nilai. Lihat informasi yang lebih lengkap di ... IfExists operator kondisi.
