【小ネタ】AdministratorAccessがアタッチされているIAMユーザーでMFAが有効になっているかチェックする

恩塚伸一郎

2020.11.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちはonz(オンジー)です!

AdministratorAccessがアタッチされているIAMユーザーでMFAが有効になっているか?をチェックするスクリプトを書く機会があり、もしかしたら誰か使う機会があるかもと思ったので置いておきます。

IAMユーザー一覧からMFAが有効になっているかをチェックするだけであればIAMの認証情報レポートで可能です。

またAWS Configのマネージドルールには「IAM ユーザーが MFA を設定しているか」「ルートユーザーが MFA を設定しているか」といったルールがあります。

これらでやりたいチェックできなかったので書きました。

前提

 

  • aws cli が使える
  • profileが用意されている(スクリプト内で指定してます)
  • jqコマンドが使える
  • bashが使える

スクリプト

#!/bin/bash +e
#
PROFILE={PROFILE}
declare -a ADMIN_USERS
declare -a WARNING_USERS

AWS_ACCOUNT_ID=$(aws sts --profile ${PROFILE} get-caller-identity | jq -r '.Account')
user_names=$(aws iam --profile ${PROFILE} list-users | jq -r '.Users[].UserName')

for user_name in $user_names; do
  login_profile=$(aws iam --profile ${PROFILE} get-login-profile --user-name $user_name 2>/dev/null)
  if [ $? -eq 0 ]; then
    list=$(aws iam --profile ${PROFILE} list-attached-user-policies --user-name $user_name --query 'AttachedPolicies[].PolicyArn')
    for policy in $list; do
      if [ "$(echo $policy | grep AdministratorAccess)" ]; then
        # AdministratorAccessを持ったユーザー
        echo "$AWS_ACCOUNT_ID - $user_name has AdministratorAccess"
        ADMIN_USERS+=($user_name)
      fi
    done
  fi
  # グループに紐づいてるAdmin権限もチェックする
  groups=$(aws iam --profile ${PROFILE} list-groups-for-user --user-name $user_name | jq -r '.Groups[].GroupName')
  for group in $groups; do
    list=$(aws iam --profile ${PROFILE} list-attached-group-policies --group-name $group --query 'AttachedPolicies[].PolicyArn')
    for policy in $list; do
      if [ "$(echo $policy | grep AdministratorAccess)" ]; then
        # AdministratorAccessを持ったユーザー
        echo "$AWS_ACCOUNT_ID - $user_name has AdministratorAccess"
        ADMIN_USERS+=($user_name)
      fi
    done
  done
done

# MFAが有効になってるかのチェック
for admin_user in ${ADMIN_USERS[@]}; do
  len=$(aws iam --profile ${PROFILE} list-mfa-devices --user-name $admin_user | jq -r '.MFADevices | length')
  if [ $len == "0" ]; then
    # MFAデバイスの紐づきが無い
    echo "$AWS_ACCOUNT_ID - $admin_user do NOT have MFA Devices"
    WARNING_USERS+=($admin_user)
  else
    # ユーザーに最低一つのMFAデバイスが紐づいてる
    echo "$AWS_ACCOUNT_ID - $admin_user has MFA Devices"
  fi
done

echo "------------!!Warning!!------------"
for i in ${WARNING_USERS[@]}; do
  echo $i
done

(もっと綺麗にかけそう)

補足

AdministratorAccess以外のポリシーでも置き換えれば使えます。

なお今回はとりあえずチェックするための手段だったのですが、実際にIAMユーザーのMFAで適切な状態を維持する方法については次の記事がとても参考になります。

*

関連記事

AWS入門ブログリレー2024〜AWS IAM編〜

千葉 幸宏(チバユキ)

2024.04.25

「出張! #DevelopersIO IT技術ブログの中の人が語る勉強会 第3回」にて IAM ABAC の話をしました

川原征大

2024.04.18

Invalid principal in policyが出たら確認したい!IAMロール・IAMユーザーが削除されるとPrincipal要素のARNがプリンシパルIDに置き換わります

niino

2024.04.18

マネジメントコンソールにログインすると、CloudTrailにイベント名「ListNotificationHubs」がエラーコード「AccessDenied」として記録されるのはなぜですか

ai

2024.04.11