Multi-Factor Authentication (MFA) se používá k přidání další vrstvy zabezpečení k účtům/identitám IAM. AWS umožňuje uživatelům přidávat MFA ke svým účtům a chránit tak své zdroje ještě více. AWS CLI je další metoda správy zdrojů AWS, kterou lze také chránit pomocí MFA.
Tato příručka vysvětlí, jak používat MFA s AWS CLI.
Jak používat MFA s AWS CLI?
Navštivte Identity and Access Management (IAM) z konzoly AWS a klikněte na „ Uživatelé stránka:
Vyberte profil kliknutím na jeho název:
Je nutné mít profil povolený s MFA:
Navštivte terminál z místního systému a konfigurovat AWS CLI:
aws configure --profile demo 
Pro potvrzení konfigurace použijte příkaz AWS CLI:
aws s3 ls --profil demoSpuštěním výše uvedeného příkazu se zobrazil název segmentu S3, který ukazuje, že konfigurace je správná:
Vraťte se na stránku IAM Users a klikněte na „ Oprávnění sekce:
V sekci oprávnění rozbalte „ Přidat oprávnění “ a klikněte na „ Vytvořte inline politiku ' knoflík:
Vložte následující kód do sekce JSON:
{'Verze': '2012-10-17',
'Prohlášení': [
{
'Sid': 'MustBeSignedInWithMFA',
'Efekt': 'Odmítnout',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'již:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'již:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'already:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Zdroj': '*',
'Stav': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Vyberte kartu JSON a vložte výše uvedený kód do editoru. Klikněte na „ Přezkoumat zásady ' knoflík:
Zadejte název zásady:
Přejděte dolů na konec stránky a klikněte na „ Vytvořte politiku ' knoflík:
Vraťte se k terminálu a znovu zkontrolujte příkaz AWS CLI:
aws s3 ls --profil demoNyní provedení příkazu zobrazí „ Přístup odepřen 'chyba:
Zkopírujte ARN z „ Uživatelé “Účet MFA:
Následuje syntaxe příkazu k získání přihlašovacích údajů pro účet MFA:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenZměň ' arn-of-the-mfa-device “ s identifikátorem zkopírovaným z řídicího panelu AWS IAM a změňte “ kód-z-tokenu “ s kódem z aplikace MFA:
aws sts get-session-token --sériové-číslo arn:aws:iam::*******94723:mfa/Authenticator --kód-tokenu 265291Zkopírujte poskytnuté přihlašovací údaje do libovolného editoru, abyste je mohli později použít v souboru přihlašovacích údajů:
K úpravě souboru AWS Credentials použijte následující příkaz:
nano ~/.aws/credentials 
Přidejte následující kód do souboru pověření:
[mfa]aws_access_key_id = Přístupový klíč
aws_secret_access_key = Tajný klíč
aws_session_token = SessionToken
Změňte AccessKey, SecretKey a SessionToken pomocí „ AccessKeyId “, “ SecretAccessId ', a ' SessionToken ” poskytnuté v předchozím kroku:
[mfa]aws_access_key_id = Přístupový klíč
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Zkontrolujte přidané přihlašovací údaje pomocí následujícího příkazu:
více .aws/pověření 
Použijte příkaz AWS CLI s ' mfa “ profil:
aws s3 ls --profil mfaÚspěšné spuštění výše uvedeného příkazu naznačuje, že profil MFA byl úspěšně přidán:
To vše je o používání MFA s AWS CLI.
Závěr
Chcete-li použít MFA s AWS CLI, přiřaďte MFA uživateli IAM a poté jej nakonfigurujte na terminálu. Poté uživateli přidejte vloženou zásadu, aby mohl prostřednictvím tohoto profilu používat pouze určité příkazy. Jakmile to uděláte, získejte pověření MFA a poté je aktualizujte v souboru pověření AWS. Ke správě prostředků AWS opět použijte příkazy AWS CLI s profilem MFA. Tato příručka vysvětluje, jak používat MFA s AWS CLI.