AWS のドキュメントで公開されている情報を参考に、IAM ユーザーが MFA 認証されていない場合、MFA を使用した認証に必要なアクションを除いて、すべての AWS アクションへのアクセスを拒否するポリシーを作成しました
ところが、最近の仕様変更に伴い、IAM ユーザーごとに複数のMFA デバイスを設定できるようになった結果、MFA デバイス名をIAM ユーザー名と同じでないと、権限エラーで拒否されてしまうようになりました
ポリシーの一部「mfa/${aws:username}」を、「mfa/*」に変更するか、IAM ユーザー名と同じにする必要があります
参考URL
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.html
AWS: MFA で認証された IAM ユーザーが [My Security Credentials] (マイセキュリティ資格情報) ページで自分の MFA デバイスを管理できるようにする
ところが、最近の仕様変更に伴い、IAM ユーザーごとに複数のMFA デバイスを設定できるようになった結果、MFA デバイス名をIAM ユーザー名と同じでないと、権限エラーで拒否されてしまうようになりました
ポリシーの一部「mfa/${aws:username}」を、「mfa/*」に変更するか、IAM ユーザー名と同じにする必要があります
参考URL
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.html
AWS: MFA で認証された IAM ユーザーが [My Security Credentials] (マイセキュリティ資格情報) ページで自分の MFA デバイスを管理できるようにする