Setelah sedikit melihat-lihat, nampaknya jawabannya adalah "agak". Di IAM, seorang administrator dapat mengkonfigurasi MFA untuk pengguna IAM lainnya. Meskipun ini mungkin sedikit rumit jika Anda mengatur MFA virtual, itu mungkin. Kemudian, jika pengguna belum diberikan izin untuk memperbarui / menghapus MFA mereka, itu diperlukan secara efektif.
Meskipun saya belum menentukan daftar lengkap tindakan yang harus ditolak (atau tidak diberikan), posting ini tampaknya memiliki informasi, dan saya akan memperbarui jawaban ini setelah saya mengujinya.
[Memperbarui]
Saya dapat mengatur pengguna sebagai pengguna-daya (sehingga tidak memberi mereka akses ke fungsi IAM, meskipun saya yakin Anda bisa mendapatkan lebih banyak rincian), dan mengimplementasikan MFA mereka bersama mereka. Dengan menggunakan metodologi ini, mereka tidak akan dapat menonaktifkannya.