IAMが複数のMFAデバイスをサポートする際の問題

AWSのIAMユーザーに対する多くのMFAサポートに関する最近報告された問題は、長期的なアクセスキー資格情報を持つIAMユーザーが、MFAを追加する特権を持つがそれを使用しない場合、MFAを追加することでアクセス特権が増加するように設定されている場合に生じる可能性があります。このような条件下では、アクセスキーとシークレットキーのみの所有が、資格情報とMFAの両方を所有することに相当します。この問題は、新しい多くのMFA機能と、MFAを追加する前の制限されたアクセスを持つIAMユーザーによるMFAデバイスの自己管理の組み合わせによるものです。この問題は、AWS Management Consoleベースのアクセスやフェデレーテッドプリンシパルには影響しませんでした。2023年4月21日現在、この問題は、既存のMFAを持つIAMユーザーが、sts:GetSessionTokenと既存のMFAを使用して一時的な資格情報を取得し、アクセスキーとシークレットキー資格情報を使用してMFAデバイスを管理するように要求することで解決されています。AWSは影響を受けた顧客に通知し、MFA構成の正しさを確認することを推奨しました。この問題は、MWR Cybersecの研究者によって特定され、責任的に開示されました。