Come usare MFA con AWS CLI

L'autenticazione multi-fattore (MFA) viene utilizzata per aggiungere un altro livello di sicurezza agli account/identità IAM. AWS consente agli utenti di aggiungere MFA ai propri account per proteggere ancora di più le proprie risorse. AWS CLI è un altro metodo per gestire le risorse AWS che possono anche essere protette tramite MFA.

Questa guida spiegherà come usare MFA con AWS CLI.

Come usare MFA con AWS CLI?

Visita l'Identity and Access Management (IAM) dalla console AWS e fai clic su "Utenti" pagina:

Seleziona il profilo facendo clic sul suo nome:

È necessario avere un profilo abilitato con MFA:

Visita il terminale dal sistema locale e configura la CLI AWS:

AWS Configura --Profile Demo

Utilizzare il comando AWS CLI per confermare la configurazione:

AWS S3 LS -DEMO PROFILE

Esecuzione Il comando sopra visualizzato il nome del bucket S3 che mostra che la configurazione è corretta:

Torna alla pagina degli utenti IAM e fai clic su "Autorizzazioni" sezione:

Nella sezione autorizzazioni, espandi il "Aggiungi autorizzazioni"Menu e fare clic su"Creare politica in linea"Pulsante:

Incolla il seguente codice nella sezione JSON:

"Versione": "2012-10-17",
"Dichiarazione": [

"Sid": "MustBesignedInWithMFA",
"Effetto": "Deny",
"Notaction": [
"IAM: createvirtualmfadevice",
"IAM: deletevirtualmfadevice",
"IAM: ListVirtualmFadeVices",
"IAM: EnableMFadevice",
"IAM: ResyncMFadevice",
"IAM: ListAccountaliases",
"IAM: ListUser",
"IAM: ListSshpublicKeys",
"IAM: ListAccessKeys",
"IAM: ListServicespecificCredentials",
"IAM: listmfadevices",
"IAM: GetAccountSummary",
"STS: getSessionToken"
",
"Risorsa": "*",
"Condizione":
"Boolifexisti":
"AWS: multifactorauthpresent": "False"



"

Seleziona la scheda JSON e incolla il codice sopra all'interno dell'editor. Clicca sul "Politica di revisione"Pulsante:

Digita il nome della politica:

Scorri verso il basso verso il basso della pagina e fai clic su "Creare politica"Pulsante:

Torna al terminale e controlla di nuovo il comando AWS CLI:

AWS S3 LS -DEMO PROFILE

Ora l'esecuzione del comando visualizza il "Accesso negato"Errore:

Copia l'arn dal "Utenti"Account MFA:

Di seguito è la sintassi del comando per ottenere le credenziali per l'account MFA:

AWS STS Get-session-token-serial-number arn-of-the-MFA-Device-Code-Token-Code-From-Token

Cambiare il "Arn-of-the-MFA-Device"Con l'identificatore copiato dal dashboard AWS iam e cambia"Code-from-token"Con il codice dall'applicazione MFA:

AWS STS Get-Session-token-Serial-number arn: AWS: iam :: ******* 94723: MFA/AUTUENTICATOR--Token-Code 265291

Copia le credenziali fornite su qualsiasi editor da utilizzare nel file delle credenziali in seguito:

Utilizzare il seguente comando per modificare il file delle credenziali AWS:

nano ~/.AWS/Credentials

Aggiungi il seguente codice al file delle credenziali:

[MFA]
AWS_ACCESS_KEY_ID = Accesskey
AWS_SECRET_ACCESS_KEY = secretKey
aws_session_token = sessionToken

Cambia AccessKey, SecretKey e SessionToken con "AccessKeyID","SecretAccessid", E "SessionToken"Fornito nel passaggio precedente:

[MFA]
AWS_ACCESS_KEY_ID = Accesskey
AWS_SECRET_ACCESS_KEY = T/secretKey
aws_session_token = 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

Controlla le credenziali aggiunte usando il seguente comando:

Di più .AWS/Credentials

Usa il comando AWS CLI con "MFA"Profilo:

AWS S3 LS -Profile MFA

L'esecuzione corretta del comando sopra suggerisce che il profilo MFA è stato aggiunto correttamente:

Si tratta di usare MFA con AWS CLI.

Conclusione

Per utilizzare MFA con AWS CLI, assegnare MFA all'utente IAM e quindi configurarlo sul terminale. Successivamente, aggiungi una politica inline all'utente in modo che possa utilizzare solo determinati comandi tramite quel profilo. Una volta fatto ciò, ottieni le credenziali MFA e quindi aggiornale sul file delle credenziali AWS. Ancora una volta, usa i comandi CLI AWS con un profilo MFA per gestire le risorse AWS. Questa guida ha spiegato come usare MFA con AWS CLI.