Daudzfaktoru autentifikācija (MFA) tiek izmantota, lai IAM kontiem/identitātēm pievienotu vēl vienu drošības slāni. AWS ļauj lietotājiem pievienot MFA saviem kontiem, lai vēl vairāk aizsargātu savus resursus. AWS CLI ir vēl viena metode AWS resursu pārvaldībai, ko var aizsargāt arī ar MFA.
Šajā rokasgrāmatā ir paskaidrots, kā izmantot MFA ar AWS CLI.
Kā izmantot MFA ar AWS CLI?
Apmeklējiet identitātes un piekļuves pārvaldību (IAM) no AWS konsoles un noklikšķiniet uz ' Lietotāji ' lappuse:
Izvēlieties profilu, noklikšķinot uz tā nosaukuma:
Ir nepieciešams, lai profils būtu iespējots ar MFA:
Apmeklējiet termināli no savas vietējās sistēmas un konfigurēt AWS CLI:
aws configure --profila demonstrācija 
Izmantojiet AWS CLI komandu, lai apstiprinātu konfigurāciju:
aws s3 ls --profila demonstrācijaPalaižot iepriekš minēto komandu, tika parādīts S3 kausa nosaukums, kas parāda, ka konfigurācija ir pareiza:
Dodieties atpakaļ uz IAM lietotāju lapu un noklikšķiniet uz ' Atļaujas ” sadaļa:
Atļauju sadaļā izvērsiet “ Pievienojiet atļaujas ' izvēlni un noklikšķiniet uz ' Izveidojiet iekļauto politiku ” poga:
Ielīmējiet šo kodu JSON sadaļā:
{'Versija': '2012-10-17',
'Paziņojums, apgalvojums': [
{
'Sid': 'Jāpierakstīties ar MFA',
'Efekts': 'Noliegt',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'jau:ListVirtualMFADevices',
'iam: EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'jau:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'jau:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Resurss': '*',
'Stāvoklis': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Atlasiet cilni JSON un ielīmējiet iepriekš minēto kodu redaktorā. Noklikšķiniet uz ' Pārskatīšanas politika ” poga:
Ierakstiet politikas nosaukumu:
Ritiniet uz leju līdz lapas apakšai un noklikšķiniet uz ' Izveidot politiku ” poga:
Dodieties atpakaļ uz termināli un vēlreiz pārbaudiet AWS CLI komandu:
aws s3 ls --profila demonstrācijaTagad komandas izpildes laikā tiek parādīts ' Pieeja noliegta ” kļūda:
Kopējiet ARN no ' Lietotāji ”MFA konts:
Tālāk ir norādīta komandas sintakse, lai iegūtu MFA konta akreditācijas datus:
aws sts get-session-token -- sērijas numurs arn-of-the-mfa-device -- marķiera kods kods no marķieraNomaini ' arn-of-the-mfa-ierīce ” ar identifikatoru, kas nokopēts no AWS IAM informācijas paneļa, un mainiet kods-no-token ” ar kodu no MFA lietojumprogrammas:
aws sts get-session-token --sērijas numurs arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Kopējiet sniegtos akreditācijas datus jebkurā redaktorā, lai vēlāk tos izmantotu akreditācijas datu failā:
Izmantojiet šo komandu, lai rediģētu AWS akreditācijas datu failu:
nano ~/.aws/credentials 
Pievienojiet akreditācijas datu failam šādu kodu:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = SecretKey
aws_session_token = Sesijas marķieris
Mainiet AccessKey, SecretKey un SessionToken ar “ AccessKeyId ”, “ Secret AccessId ', un ' SessionToken ”, kas sniegts iepriekšējā darbībā:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Pārbaudiet pievienotos akreditācijas datus, izmantojot šo komandu:
vairāk .aws/credentials 
Izmantojiet AWS CLI komandu ar ' mfa ' profils:
aws s3 ls --profils mfaIepriekš minētās komandas veiksmīga izpilde liecina, ka MFA profils ir veiksmīgi pievienots:
Tas viss attiecas uz MFA izmantošanu ar AWS CLI.
Secinājums
Lai izmantotu MFA ar AWS CLI, piešķiriet MFA IAM lietotājam un pēc tam konfigurējiet to terminālī. Pēc tam pievienojiet lietotājam iekļautu politiku, lai tas šajā profilā varētu izmantot tikai noteiktas komandas. Kad tas ir izdarīts, iegūstiet MFA akreditācijas datus un pēc tam atjauniniet tos AWS akreditācijas datu failā. Atkal izmantojiet AWS CLI komandas ar MFA profilu, lai pārvaldītu AWS resursus. Šajā rokasgrāmatā ir paskaidrots, kā izmantot MFA ar AWS CLI.