Uwierzytelnianie wieloskładnikowe (MFA) służy do dodawania kolejnej warstwy zabezpieczeń do kont/tożsamości IAM. AWS pozwala użytkownikom dodawać MFA do swoich kont, aby jeszcze bardziej chronić swoje zasoby. AWS CLI to kolejna metoda zarządzania zasobami AWS, które również mogą być chronione przez MFA.
W tym przewodniku wyjaśniono, jak używać MFA z AWS CLI.
Jak korzystać z MFA z AWS CLI?
Odwiedź Zarządzanie tożsamościami i dostępem (IAM) z konsoli AWS i kliknij przycisk „ Użytkownicy strona:
Wybierz profil klikając na jego nazwę:
Wymagane jest włączenie profilu z MFA:
Odwiedź Terminal z lokalnego systemu i skonfigurować CLI AWS:
aws configure --profile demo 
Użyj polecenia AWS CLI, aby potwierdzić konfigurację:
aws s3 ls — demonstracja profiluUruchomienie powyższego polecenia wyświetliło nazwę zasobnika S3 wskazującą, że konfiguracja jest poprawna:
Wróć do strony Użytkownicy IAM i kliknij przycisk „ Uprawnienia ' Sekcja:
W sekcji uprawnień rozwiń „ Dodaj uprawnienia ” i kliknij przycisk „ Utwórz zasady wbudowane ' przycisk:
Wklej następujący kod w sekcji JSON:
{'Wersja': '2012-10-17',
'Oświadczenie': [
{
'Sid': 'MustBeSignedInWithMFA',
'Efekt': 'Odrzuć',
'NotAkcja': [
'iam:CreateVirtualMFADevice',
'iam: Usuń Wirtualne Urządzenie MFAD',
'już: lista urządzeń wirtualnych MFAD',
'iam:Włącz urządzenieMFAD',
'zacięcie:Ponowna synchronizacja urządzenia MFA',
'iam:ListAccountAliases',
'już:ListUżytkownicy',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'już:ListMFADevices',
'iam:PobierzPodsumowanieKonta',
„sts: GetSessionToken”
],
'Zasób': '*',
'Stan : schorzenie': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'fałsz'
}
}
}
]
}
Wybierz zakładkę JSON i wklej powyższy kod do edytora. Kliknij na ' Zasady przeglądu ' przycisk:
Wpisz nazwę zasady:
Przewiń w dół strony i kliknij „ Utwórz zasady ' przycisk:
Wróć do terminala i sprawdź ponownie polecenie AWS CLI:
aws s3 ls — demonstracja profiluTeraz wykonanie polecenia wyświetla komunikat „ Brak dostępu ' błąd:
Skopiuj ARN z „ Użytkownicy „Konto MSZ:
Poniżej przedstawiono składnię polecenia umożliwiającego uzyskanie poświadczeń dla konta usługi MFA:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenZmienić ' arn-z-urządzenia-mfa ” z Identyfikatorem skopiowanym z pulpitu nawigacyjnego AWS IAM i zmień „ kod-z-tokena ” z kodem z aplikacji MFA:
aws sts get-session-token --serial-number arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Skopiuj podane poświadczenia w dowolnym edytorze, aby później użyć ich w pliku poświadczeń:
Użyj następującego polecenia, aby edytować plik poświadczeń AWS:
nano ~/.aws/poświadczenia 
Dodaj następujący kod do pliku poświadczeń:
[szef]aws_access_key_id = Klucz dostępu
aws_secret_access_key = tajny klucz
aws_session_token = Token sesji
Zmień AccessKey, SecretKey i SessionToken za pomocą „ Identyfikator klucza dostępu ”, „ Tajny identyfikator dostępu ', I ' Token sesji ” podany w poprzednim kroku:
[szef]aws_access_key_id = Klucz dostępu
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Sprawdź dodane poświadczenia za pomocą następującego polecenia:
więcej .aws/poświadczeń 
Użyj polecenia AWS CLI z „ Ministerstwo Spraw Zagranicznych profil:
aws s3 ls --profil mfaPomyślne uruchomienie powyższego polecenia sugeruje, że profil usługi MFA został pomyślnie dodany:
Chodzi o użycie MFA z AWS CLI.
Wniosek
Aby używać MFA z AWS CLI, przypisz MFA do użytkownika IAM, a następnie skonfiguruj go na terminalu. Następnie dodaj do użytkownika zasadę wbudowaną, aby mógł używać tylko niektórych poleceń za pośrednictwem tego profilu. Gdy to zrobisz, uzyskaj poświadczenia MFA, a następnie zaktualizuj je w pliku poświadczeń AWS. Ponownie użyj poleceń AWS CLI z profilem MFA do zarządzania zasobami AWS. W tym przewodniku wyjaśniono, jak używać MFA z AWS CLI.