AWS'de Yeni Kullanıcılar İçin MFA Zorunluluğu: Hızlı ve Güvenli Bir Başlangıç

careerpath-tnail

Bu yazıda, AWS hesabında yeni kullanıcılar oluşturulduğunda Multi-Factor Authentication (MFA) olmayan kullanıcılarda otomatik olarak belirli yetkilerin sınırlandırılması için bir çözüm yolunu ele alıyoruz.

Bir IAM kullanıcısı MFA doğrulamasına sahip değilse, güvenlik açısından bu kullanıcının AWS hesabınızda işlem yapmasını istemeyebilirsiniz. Bunu sağlamak için de MFA kullanımını aktif etme yetkilerinin dışında kullanıcının diğer tüm eylemlerini engelleyen bir politika uygulamanız gerekir.

Yeni kullanıcıların güvenlik standartlarına uymasını sağlamak ve güvenlik politikasını uygulamayı otomatikleştirmek amacıyla AWS Lambda ve EventBridge'i kullanabiliriz. Bu senaryoda Lambda ve Eventbridge servislerinin yanı sıra IAM ve Cloudtrail servisleri de işin içine dahil olacaktır.

İlk olarak Lambda fonksiyonu oluşturarak IAM kullanıcılarını kontrol etmeli ve MFA politikası olmayan kullanıcılara aşağıdaki linkte verilen politikayı inline policy olarak ekleyecek bir lambda kodu yazmalısınız.

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam_mfa-selfmanage.html

Her kullanıcının kendi MFA'sını etkinleştirmesine ve cihazını tanımlamasına izin verdiğinden, bu özelleştirilmiş bir politikadır ve doğrudan kullanıcılara atanmış olmalıdır. Bu politikaya sahip bir IAM kullanıcısı MFA doğrulamasına sahip değilse, bu politika MFA doğrulama için gerekli olanlar hariç tüm AWS eylemlerine erişimi reddeder.

Ek olarak belirli bir tarihten önce oluşturulmuş kullanıcıların etkilenmesini istemiyorsanız, Lambda’ya environment variable olarak tarih ekleyip, Lambda kodunda da kullandığınız programlama diline göre tarih/saat modülü kullanarak belirlediğiniz tarihten sonra oluşan kullanıcılar için bu işlemi gerçekleştirebilirsiniz.

Lambda fonksiyonunun IAM kullanıcıları üzerinde değişiklik yapabilmesi için gerekli yetkileri içeren bir IAM rolü tanımladıktan sonra Lambda kullanıma hazır hale gelmiş olacaktır.

Oluşturduğumuz Lambda fonksiyonunu her seferinde manuel çalıştırmak yerine, her yeni kullanıcı oluştuğunda fonksiyonun çalışmasını sağlaması için EventBridge servisini kullanabiliriz.

EventBridge ile IAM kullanıcıları üzerindeki eylemleri takip edip yeni kullanıcı oluştuğunu tespit edecek bir kural oluşturabiliriz.

(NOT: Bu aşamada kontrol etmemiz gereken bir servis daha var, Cloudtrail. CloudTrail servisi, IAM kullanıcıları üzerinde gerçekleşen eylemleri kaydeder. Oluşturduğunuz kuralın doğru çalışması için CloudTrail servisini kullanarak bir trail oluşturmalı ve bu trail'i etkinleştirmelisiniz.)

Oluşturduğumuz Eventbridge kuralını Lambda fonksiyonuyla trigger olarak ilişkilendirdiğimizde her yeni bir kullanıcı oluşturulduğunda bu kural tetiklenir ve Lambda fonksiyonu harekete geçerek ilgili policy’i kullanıcıya ekler.

Sonuç olarak bu çözüm sayesinde, hesabımızda yeni kullanıcılar oluşturulduğunda MFA zorunluluğunu otomatik olarak uygulayabiliyor ve güvenlik politikalarını etkili bir şekilde yönetebiliyoruz. Bu yaklaşım, güvenlik standartlarını yükseltmek ve kullanıcı yönetimini kolaylaştırmak adına atılan bir adımdır.

MFA kullanmanın önemi ve nasıl aktif edileceği ile detaylı bilgiye blog sayfamızdaki “AWS Hesaplarında Multi Factor Authentication (MFA) Kullanımı” adlı blog yazımızdan ulaşabilirsiniz.

https://awsegitimi.com/tr/blog/2341/aws-hesaplarinda-multi-factor-authentication-mfa-k/

Oğuzhan Hızıroğlu


 AWS sertifikası almak için ise adres, AWS Eğitimi olacaktır. Eğitim programları ve ilgili diğer sorularınız için info@yonetim.academy adresine mail atabilirsiniz. Profesyonel eğitmen kadromuzdan, AWS sertifikasyon sürecinizde en iyi desteği alacağınıza emin olabilirsiniz.

 

Yazının tüm hakları Yönetim.Academy’e aittir. İzinsiz olarak, kaynak belirtilerek dahi alıntı yapılması ya da yazının tamamının başka yerde yayınlanması yasaktır.