Amazon EC2: 特定の EC2 オペレーション (GetSessionToken) に対して MFA が必要 - AWS Identity and Access Management

Amazon EC2: 特定の EC2 オペレーション (GetSessionToken) に対して MFA が必要

この例では、次のような IAM ポリシーを作成する方法を示します。 は Amazon EC2 のすべての AWS APIオペレーションへのフルアクセスを許可します。ただし、Multi-Factor Authentication (MFA) を使用して認証されていない場合は、StopInstances および TerminateInstances API オペレーションへのアクセスを明示的に拒否します。これをプログラムで行うには、GetSessionToken オペレーションを呼び出すときにユーザーはオプションの SerialNumber および TokenCode 値を含める必要があります。このオペレーションでは、MFA を使用して認証された一時認証情報を返します。GetSessionToken の詳細については、「GetSessionToken — 信頼されていない環境にあるユーザー向けの一時的認証情報」を参照してください。

このポリシーで行うこと

  • この AllowAllActionsForEC2 ステートメントではすべての Amazon EC2 アクションが許可されます。

  • DenyStopAndTerminateWhenMFAIsNotPresent ステートメントは、MFA コンテキストが欠落している場合に、StopInstances および TerminateInstances のアクションを拒否します。これは、多要素認証コンテキストがない場合 (MFA が使用されなかったことを意味します) にアクションが拒否されることを意味します。拒否が許可に優先します。

注記

Deny ステートメントの MultiFactorAuthPresent の条件チェックは、MFA が使用されていなければ該当キーが存在せず、評価できないため、{"Bool":{"aws:MultiFactorAuthPresent":false}} となりません。その代わりに、BoolIfExists チェックを使用して、値をチェックする前にキーが存在するかどうか確認します。詳細については、「...IfExists 条件演算子」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllActionsForEC2", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" }, { "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent", "Effect": "Deny", "Action": [ "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": { "BoolIfExists": {"aws:MultiFactorAuthPresent": false} } } ] }