我们有一个业务需求,其中删除 AWS 账户中的资源需要 2 个用户的批准——可能是管理员和经理。
似乎没有一种直接的、开箱即用的方法来做到这一点。
我们可以通过几种手动处理方法来管理问题
- 删除资源的权限将只提供给经理 - 从技术上讲,他不知道如何删除资源。管理员将与管理员共享屏幕,管理员将删除该资源。
- 超级管理员授予管理员临时删除资源的基于时间的权限
除此之外,是否可以自动强制要求 2 个用户删除一个资源?
具体来说,我们可以使用 iam 条件键在策略中要求 2 个用户的 mfa 吗?
AskOverflow.Dev
我不知道在 AWS 中“开箱即用”实现这一目标的任何技术方法。您绝对不能为单个操作强制执行 2 个 MFA 令牌,而不是按照您的意思。您可能可以通过承担角色来拼凑一些东西,但 MFA 与用户而不是角色相关联。
一种实用的方法可能是: