【小ネタ】AdministratorAccessがアタッチされているIAMユーザーでMFAが有効になっているかチェックする

【小ネタ】AdministratorAccessがアタッチされているIAMユーザーでMFAが有効になっているかチェックする

#AWS IAM
#AWS CLI
恩塚伸一郎

恩塚伸一郎

facebook logohatena logotwitter logo
Clock Icon2020.11.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちはonz(オンジー)です!

AdministratorAccessがアタッチされているIAMユーザーでMFAが有効になっているか?をチェックするスクリプトを書く機会があり、もしかしたら誰か使う機会があるかもと思ったので置いておきます。

IAMユーザー一覧からMFAが有効になっているかをチェックするだけであればIAMの認証情報レポートで可能です。

またAWS Configのマネージドルールには「IAM ユーザーが MFA を設定しているか」「ルートユーザーが MFA を設定しているか」といったルールがあります。

これらでやりたいチェックできなかったので書きました。

前提

 

  • aws cli が使える
  • profileが用意されている(スクリプト内で指定してます)
  • jqコマンドが使える
  • bashが使える

スクリプト

#!/bin/bash +e
#
PROFILE={PROFILE}
declare -a ADMIN_USERS
declare -a WARNING_USERS

AWS_ACCOUNT_ID=$(aws sts --profile ${PROFILE} get-caller-identity | jq -r '.Account')
user_names=$(aws iam --profile ${PROFILE} list-users | jq -r '.Users[].UserName')

for user_name in $user_names; do
  login_profile=$(aws iam --profile ${PROFILE} get-login-profile --user-name $user_name 2>/dev/null)
  if [ $? -eq 0 ]; then
    list=$(aws iam --profile ${PROFILE} list-attached-user-policies --user-name $user_name --query 'AttachedPolicies[].PolicyArn')
    for policy in $list; do
      if [ "$(echo $policy | grep AdministratorAccess)" ]; then
        # AdministratorAccessを持ったユーザー
        echo "$AWS_ACCOUNT_ID - $user_name has AdministratorAccess"
        ADMIN_USERS+=($user_name)
      fi
    done
  fi
  # グループに紐づいてるAdmin権限もチェックする
  groups=$(aws iam --profile ${PROFILE} list-groups-for-user --user-name $user_name | jq -r '.Groups[].GroupName')
  for group in $groups; do
    list=$(aws iam --profile ${PROFILE} list-attached-group-policies --group-name $group --query 'AttachedPolicies[].PolicyArn')
    for policy in $list; do
      if [ "$(echo $policy | grep AdministratorAccess)" ]; then
        # AdministratorAccessを持ったユーザー
        echo "$AWS_ACCOUNT_ID - $user_name has AdministratorAccess"
        ADMIN_USERS+=($user_name)
      fi
    done
  done
done

# MFAが有効になってるかのチェック
for admin_user in ${ADMIN_USERS[@]}; do
  len=$(aws iam --profile ${PROFILE} list-mfa-devices --user-name $admin_user | jq -r '.MFADevices | length')
  if [ $len == "0" ]; then
    # MFAデバイスの紐づきが無い
    echo "$AWS_ACCOUNT_ID - $admin_user do NOT have MFA Devices"
    WARNING_USERS+=($admin_user)
  else
    # ユーザーに最低一つのMFAデバイスが紐づいてる
    echo "$AWS_ACCOUNT_ID - $admin_user has MFA Devices"
  fi
done

echo "------------!!Warning!!------------"
for i in ${WARNING_USERS[@]}; do
  echo $i
done

(もっと綺麗にかけそう)

補足

AdministratorAccess以外のポリシーでも置き換えれば使えます。

なお今回はとりあえずチェックするための手段だったのですが、実際にIAMユーザーのMFAで適切な状態を維持する方法については次の記事がとても参考になります。

Share this article

facebook logohatena logotwitter logo

関連記事

AWS CLIを使用したJumpアカウントでのスイッチロール後、非許可IPアドレスからの操作が可能になる理由と対策

AWS CLIを使用したJumpアカウントでのスイッチロール後、非許可IPアドレスからの操作が可能になる理由と対策

User avatar
平井裕二
2024.11.18
IAMユーザのシークレットアクセスキーをSecret Managerに保管しローテーションさせてみた

IAMユーザのシークレットアクセスキーをSecret Managerに保管しローテーションさせてみた

User avatar
S.D.
2024.11.07
CDKで管理しているリソースを別スタックに移行する

CDKで管理しているリソースを別スタックに移行する

User avatar
鈴木純
2024.11.06
AWS STSの一時認証情報を利用してGASからS3のcsvに対してデータの読み書きをしてみた

AWS STSの一時認証情報を利用してGASからS3のcsvに対してデータの読み書きをしてみた

User avatar
k.uehara
2024.11.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.