A többtényezős hitelesítés (MFA) egy újabb biztonsági réteg hozzáadására szolgál az IAM-fiókokhoz/identitásokhoz. Az AWS lehetővé teszi a felhasználók számára, hogy MFA-t adjanak fiókjukhoz, hogy még jobban megvédjék erőforrásaikat. Az AWS CLI egy másik módszer az AWS-erőforrások kezelésére, amely MFA-n keresztül is védhető.
Ez az útmutató elmagyarázza, hogyan használható az MFA az AWS CLI-vel.
Hogyan használható az MFA az AWS CLI-vel?
Keresse fel az Identity and Access Management (IAM) oldalt az AWS konzolról, és kattintson a „ Felhasználók ” oldal:
Válassza ki a profilt a nevére kattintva:
Az MFA-val engedélyezett profil szükséges:
Látogassa meg a terminált a helyi rendszeréről, és Beállítás az AWS CLI:
aws configure --profile bemutató 
Használja az AWS CLI parancsot a konfiguráció megerősítéséhez:
aws s3 ls --profil bemutatóA fenti parancs futtatása megjelenítette az S3 csoport nevét, jelezve, hogy a konfiguráció helyes:
Menjen vissza az IAM-felhasználók oldalára, és kattintson a „ Engedélyek ” szakasz:
Az engedélyek részben bontsa ki a „ Engedélyek hozzáadása ” menüben, majd kattintson a „ Inline szabályzat létrehozása ” gomb:
Illessze be a következő kódot a JSON szakaszba:
{'Verzió': '2012-10-17',
'Nyilatkozat': [
{
'Sid': 'MustBe SignedInWithMFA',
'Effect': 'Deny',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'already:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'already:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'already:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Forrás': '*',
'Feltétel': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Válassza ki a JSON lapot, és illessze be a fenti kódot a szerkesztőbe. Kattintson a ' Áttekintési szabályzat ” gomb:
Írja be a szabályzat nevét:
Görgessen le az oldal aljára, és kattintson a „ Szabályzat létrehozása ” gomb:
Menjen vissza a terminálhoz, és ellenőrizze újra az AWS CLI parancsot:
aws s3 ls --profil bemutatóMost a parancs végrehajtása megjeleníti a ' Hozzáférés megtagadva ” hiba:
Másolja ki az ARN-t a ' Felhasználók ” MFA számla:
A következő az MFA-fiók hitelesítő adatainak lekéréséhez szükséges parancs szintaxisa:
aws sts get-session-token --sorozatszám arn-of-the-mfa-device --token-code code-from-tokenVáltoztasd meg a ' arn-of-the-mfa-eszköz ' az AWS IAM irányítópultjáról másolt azonosítóval, és módosítsa a ' kód-tól-token ” az MFA alkalmazás kódjával:
aws sts get-session-token --sorozatszám arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Másolja át a megadott hitelesítő adatokat bármely szerkesztőben, hogy később felhasználja a hitelesítő adatfájlban:
A következő paranccsal szerkesztheti az AWS hitelesítő adatait:
nano ~/.aws/credentials 
Adja hozzá a következő kódot a hitelesítő adatfájlhoz:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = Titkos kulcs
aws_session_token = SessionToken
Módosítsa az AccessKey, SecretKey és SessionToken értékét a „ AccessKeyId ”, „ Secret AccessId ”, és „ SessionToken ” az előző lépésben megadott:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Ellenőrizze a hozzáadott hitelesítő adatokat a következő paranccsal:
további .aws/credentials 
Használja az AWS CLI parancsot a „ mfa ” profil:
aws s3 ls --profile mfaA fenti parancs sikeres futtatása azt jelzi, hogy az MFA-profil sikeresen hozzáadásra került:
Ez az MFA használatáról szól az AWS CLI-vel.
Következtetés
Ha az MFA-t az AWS CLI-vel szeretné használni, rendelje hozzá az MFA-t az IAM-felhasználóhoz, majd konfigurálja azt a terminálon. Ezt követően adjon hozzá egy soron belüli házirendet a felhasználóhoz, hogy csak bizonyos parancsokat tudjon használni a profilon keresztül. Ha ez megtörtént, szerezze be az MFA hitelesítő adatokat, majd frissítse azokat az AWS hitelesítőadat-fájlban. Ismét használja az AWS CLI parancsokat MFA-profillal az AWS-erőforrások kezeléséhez. Ez az útmutató elmagyarázza, hogyan használható az MFA az AWS CLI-vel.