Multi-Factor Authentication (MFA) sa používa na pridanie ďalšej bezpečnostnej vrstvy k účtom/identitám IAM. AWS umožňuje používateľom pridať MFA do svojich účtov, aby ešte viac chránili svoje zdroje. AWS CLI je ďalšou metódou na správu zdrojov AWS, ktorú je možné chrániť aj prostredníctvom MFA.
Táto príručka vysvetlí, ako používať MFA s AWS CLI.
Ako používať MFA s AWS CLI?
Navštívte Identity and Access Management (IAM) z konzoly AWS a kliknite na „ Používatelia “stránka:
Vyberte profil kliknutím na jeho názov:
Vyžaduje sa, aby ste mali povolený profil s MFA:
Navštívte terminál z vášho lokálneho systému a nakonfigurovať AWS CLI:
aws configure -- demo profilu
Na potvrdenie konfigurácie použite príkaz AWS CLI:
aws s3 ls --ukážka profiluSpustenie vyššie uvedeného príkazu zobrazilo názov segmentu S3, ktorý ukazuje, že konfigurácia je správna:
Vráťte sa na stránku IAM Users a kliknite na „ Povolenia sekcia:
V sekcii povolení rozbaľte „ Pridať povolenia “ a kliknite na „ Vytvorte inline politiku tlačidlo ”:
Prilepte nasledujúci kód do sekcie JSON:
{'Verzia': '2012-10-17',
'Vyhlásenie': [
{
'Sid': 'MustBeSignedInWithMFA',
'Efekt': 'Odmietnuť',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'už:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'už:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'už:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Zdroj': '*',
'Stav': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Vyberte kartu JSON a vložte vyššie uvedený kód do editora. Klikni na ' Pravidlá kontroly tlačidlo ”:
Zadajte názov politiky:
Prejdite nadol na koniec stránky a kliknite na „ Vytvorte politiku tlačidlo ”:
Vráťte sa k terminálu a znova skontrolujte príkaz AWS CLI:
aws s3 ls --ukážka profiluTeraz vykonanie príkazu zobrazí „ Prístup zamietnutý ' chyba:
Skopírujte ARN z „ Používatelia “Účet MFA:
Nasleduje syntax príkazu na získanie poverení pre účet MFA:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenZmeniť ' arn-of-the-mfa-device “ s identifikátorom skopírovaným z AWS IAM dashboard a zmeňte “ kód-z-tokenu “ s kódom z aplikácie MZV:
aws sts get-session-token --sériové-číslo arn:aws:iam::*******94723:mfa/Authenticator --kód-tokenu 265291Skopírujte poskytnuté poverenia do ľubovoľného editora, aby ste ich mohli neskôr použiť v súbore poverení:
Na úpravu súboru poverení AWS použite nasledujúci príkaz:
nano ~/.aws/credentials
Pridajte nasledujúci kód do súboru poverení:
[mfa]aws_access_key_id = Prístupový kľúč
aws_secret_access_key = Tajný kľúč
aws_session_token = Token relácie
Zmeňte AccessKey, SecretKey a SessionToken pomocou „ AccessKeyId “, “ SecretAccessId “ a „ SessionToken “poskytnuté v predchádzajúcom kroku:
[mfa]aws_access_key_id = Prístupový kľúč
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Skontrolujte pridané poverenia pomocou nasledujúceho príkazu:
viac .aws/poverenia
Použite príkaz AWS CLI s „ mfa “ profil:
aws s3 ls --profil mfaÚspešné spustenie vyššie uvedeného príkazu naznačuje, že profil MFA bol úspešne pridaný:
Toto je všetko o používaní MFA s AWS CLI.
Záver
Ak chcete použiť MFA s AWS CLI, priraďte MFA používateľovi IAM a potom ho nakonfigurujte na termináli. Potom pridajte inline politiku používateľovi, aby mohol používať iba určité príkazy prostredníctvom tohto profilu. Po dokončení získajte poverenia MFA a potom ich aktualizujte v súbore poverení AWS. Opäť použite príkazy AWS CLI s profilom MFA na správu prostriedkov AWS. Táto príručka vysvetľuje, ako používať MFA s AWS CLI.