# IAM: permite que usuários do IAM autogerenciem um dispositivo com MFA Este exemplo mostra como é possível criar uma política baseada em identidade que permita que os usuários do IAM autogerenciem seus dispositivos com [autenticação multifator (MFA)](id_credentials_mfa.md). Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. **nota** Se um usuário do IAM com essa política não for autenticado por MFA, essa política negará o acesso a todas as ações da AWS, exceto aquelas necessárias para autenticar usando MFA. Se você adicionar essas permissões para um usuário que está conectado à AWS, pode ser necessário sair e fazer login novamente para visualizar essas alterações. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListActions", "Effect": "Allow", "Action": [ "iam:ListUsers", "iam:ListVirtualMFADevices" ], "Resource": "*" }, { "Sid": "AllowUserToCreateVirtualMFADevice", "Effect": "Allow", "Action": [ "iam:CreateVirtualMFADevice" ], "Resource": "arn:aws:iam::*:mfa/*" }, { "Sid": "AllowUserToManageTheirOwnMFA", "Effect": "Allow", "Action": [ "iam:EnableMFADevice", "iam:GetMFADevice", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "AllowUserToDeactivateTheirOwnMFAOnlyWhenUsingMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": "true" } } }, { "Sid": "BlockMostAccessUnlessSignedInWithMFA", "Effect": "Deny", "NotAction": [ "iam:CreateVirtualMFADevice", "iam:EnableMFADevice", "iam:ListMFADevices", "iam:ListUsers", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] } ``` ------