Multi-Factor Authentication (MFA) wird verwendet, um den IAM-Konten/Identitäten eine weitere Sicherheitsebene hinzuzufügen. AWS ermöglicht es Benutzern, MFA zu ihren Konten hinzuzufügen, um ihre Ressourcen noch besser zu schützen. AWS CLI ist eine weitere Methode zur Verwaltung von AWS-Ressourcen, die ebenfalls durch MFA geschützt werden können.
In diesem Handbuch wird erläutert, wie Sie MFA mit AWS CLI verwenden.
Wie verwende ich MFA mit AWS CLI?
Besuchen Sie Identity and Access Management (IAM) in der AWS-Konsole und klicken Sie auf „ Benutzer ' Buchseite:
Wählen Sie das Profil aus, indem Sie auf seinen Namen klicken:
Es ist erforderlich, dass ein Profil mit MFA aktiviert ist:
Besuchen Sie das Terminal von Ihrem lokalen System aus und konfigurieren die AWS-CLI:
aws configure --profile demo 
Verwenden Sie den AWS CLI-Befehl, um die Konfiguration zu bestätigen:
aws s3 ls --profile demoBeim Ausführen des obigen Befehls wurde der S3-Bucket-Name angezeigt, der zeigt, dass die Konfiguration korrekt ist:
Gehen Sie zurück zur Seite „IAM-Benutzer“ und klicken Sie auf „ Berechtigungen ' Abschnitt:
Erweitern Sie im Abschnitt „Berechtigungen“ das „ Berechtigungen hinzufügen “ Menü und klicken Sie auf „ Erstellen Sie eine Inline-Richtlinie ' Taste:
Fügen Sie den folgenden Code in den JSON-Abschnitt ein:
{'Version': '2012-10-17',
'Stellungnahme': [
{
'Sid': 'MussBeSignedInWithMFA',
'Effekt': 'Verweigern',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'bereits:VirtualMFADevices auflisten',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'bereits:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'bereits:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Ressource': '*',
'Zustand': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Wählen Sie die Registerkarte JSON und fügen Sie den obigen Code in den Editor ein. Klick auf das ' Richtlinie überprüfen ' Taste:
Geben Sie den Namen der Richtlinie ein:
Scrollen Sie zum Ende der Seite und klicken Sie auf „ Richtlinie erstellen ' Taste:
Gehen Sie zurück zum Terminal und überprüfen Sie erneut den AWS CLI-Befehl:
aws s3 ls --profile demoJetzt zeigt die Ausführung des Befehls die „ Zugriff abgelehnt ' Fehler:
Kopieren Sie den ARN aus dem „ Benutzer ” MFA-Konto:
Im Folgenden ist die Syntax des Befehls zum Abrufen der Anmeldeinformationen für das MFA-Konto aufgeführt:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenÄndere das ' arn-of-the-mfa-device “ mit der aus dem AWS IAM-Dashboard kopierten Kennung und ändern Sie „ Code-aus-Token “ mit dem Code aus der MFA-Anwendung:
aws sts get-session-token --serial-number arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Kopieren Sie die bereitgestellten Anmeldeinformationen in einen beliebigen Editor, um sie später in der Datei mit den Anmeldeinformationen zu verwenden:
Verwenden Sie den folgenden Befehl, um die Datei mit den AWS-Anmeldeinformationen zu bearbeiten:
nano ~/.aws/credentials 
Fügen Sie der Datei mit den Anmeldeinformationen den folgenden Code hinzu:
[mfa]aws_access_key_id = Zugriffsschlüssel
aws_secret_access_key = Geheimschlüssel
aws_session_token = Sitzungstoken
Ändern Sie AccessKey, SecretKey und SessionToken mit dem „ AccessKeyId “, „ SecretAccessId ', Und ' Sitzungstoken “ im vorherigen Schritt bereitgestellt:
[mfa]aws_access_key_id = Zugriffsschlüssel
aws_secret_access_key = t/SecretKey
aws_session_token = IQoJb3JpZ2luX2VjEH8aDmFwLXNvdXRoZWFzdC0xIkcwRQIhANdHKh53PNHamG1aaNFHYH+6x3xBI/oi4dPHi9Gv7wdPAiBFqZZtIcHg+A6J4HqV9pvN1AmCsC+WdBFEdNCtIIpCJirvAQhYEAEaDDY2Mzg3ODg5NDcyMyIM6ujtSkPhFzLfhsW6KswBiBfBeZAaIBPgMuLAKbRym58xlbHoQfAygrxrit671nT+43YZNWpWd/sX/ZpHI56PgBsbc6g2ZfBRQ/FTk3oSjWbl9e/SAzPgPLhje6Cf4iEc8slLjwDs/j5EGymADRowQDJsVvKePy1zTMXUj1U1byb0X6J3eNEPvx24Njg4ugJ95KzpPGnqdLrp/z/BnSN3dMt77O2mAleniQyPpw/nVGn73D60HtBx3EJzvmvwthHcdA6wM/Gvdij0VcRC4qoN/8FaymyCwvwvMeAVMPu/j6EGOpgBK4sd1Ek++dSVSCWBeOX6F93SgnTZkjKWFkc6ki4QXP0IQm/+NvBGviMJQAyJ/yRU58tW9Q9ERhgHSfwZNSKQ3EWsPlaCitJqQV15l8VDtPEyNgl1exAzBSt2ZZBthUc3VHKN/UyhgUXtn8Efv5E8HP+fblbeX2ExlfC9KnQj6Ob5sP5ZHvEnDkwSCJ6wpFq3qiWR3n75Dp0=
Überprüfen Sie die hinzugefügten Anmeldeinformationen mit dem folgenden Befehl:
mehr .aws/Anmeldeinformationen 
Verwenden Sie den AWS CLI-Befehl mit dem „ mfa ' Profil:
aws s3 ls --profile mfaDie erfolgreiche Ausführung des obigen Befehls deutet darauf hin, dass das MFA-Profil erfolgreich hinzugefügt wurde:
Hier dreht sich alles um die Verwendung von MFA mit AWS CLI.
Abschluss
Um MFA mit AWS CLI zu verwenden, weisen Sie MFA dem IAM-Benutzer zu und konfigurieren Sie es dann auf dem Terminal. Fügen Sie danach dem Benutzer eine Inline-Richtlinie hinzu, damit er nur bestimmte Befehle über dieses Profil verwenden kann. Sobald dies erledigt ist, rufen Sie die MFA-Anmeldeinformationen ab und aktualisieren Sie sie dann in der AWS-Anmeldeinformationsdatei. Verwenden Sie erneut AWS CLI-Befehle mit einem MFA-Profil, um AWS-Ressourcen zu verwalten. In diesem Handbuch wurde erklärt, wie Sie MFA mit AWS CLI verwenden.