Kelių veiksnių autentifikavimas (MFA) naudojamas norint pridėti kitą saugos sluoksnį prie IAM paskyrų / tapatybių. AWS leidžia vartotojams pridėti MFA prie savo paskyrų, kad dar labiau apsaugotų savo išteklius. AWS CLI yra dar vienas AWS išteklių valdymo būdas, kurį taip pat galima apsaugoti naudojant MFA.
Šiame vadove bus paaiškinta, kaip naudoti MFA su AWS CLI.
Kaip naudoti MFA su AWS CLI?
AWS konsolėje apsilankykite Identity and Access Management (IAM) ir spustelėkite „ Vartotojai “ puslapis:
Pasirinkite profilį spustelėdami jo pavadinimą:
Būtina, kad profilis būtų įjungtas su MFA:
Apsilankykite terminale iš savo vietinės sistemos ir konfigūruoti AWS CLI:
aws configure --profile demonstracinė versija 
Norėdami patvirtinti konfigūraciją, naudokite AWS CLI komandą:
aws s3 ls --profilio demonstracinė versijaVykdant aukščiau pateiktą komandą buvo rodomas S3 segmento pavadinimas, rodantis, kad konfigūracija yra teisinga:
Grįžkite į IAM vartotojų puslapį ir spustelėkite „ Leidimai ' skyrius:
Leidimų skiltyje išplėskite „ Pridėti leidimus “ meniu ir spustelėkite „ Sukurkite tiesioginę politiką “ mygtukas:
JSON skiltyje įklijuokite šį kodą:
{'Versija': '2012-10-17',
„Pareiškimas“: [
{
'Sid': 'MustBe SignedInWithMFA',
'Efektas': 'Neigti',
„NotAction“: [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'jau:ListVirtualMFADevices',
'iam: EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'already:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'jau:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Išteklius': '*',
'Būklė': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Pasirinkite JSON skirtuką ir įklijuokite aukščiau pateiktą kodą redaktoriaus viduje. Spustelėkite „ Peržiūrėkite politiką “ mygtukas:
Įveskite politikos pavadinimą:
Slinkite žemyn į puslapio apačią ir spustelėkite „ Sukurti politiką “ mygtukas:
Grįžkite į terminalą ir dar kartą patikrinkite AWS CLI komandą:
aws s3 ls --profilio demonstracinė versijaDabar vykdant komandą rodomas „ Prieiga uždrausta “ klaida:
Nukopijuokite ARN iš „ Vartotojai 'MFA sąskaita:
Toliau pateikiama komandos MFA paskyros kredencialams gauti sintaksė:
aws sts get-session-token --serijos numeris arn-of-the-mfa-device --token-code code-from-tokenPakeisti ' arn-of-the-mfa-įrenginys “ su identifikatoriumi nukopijuotu iš AWS IAM prietaisų skydelio ir pakeiskite “ kodas-nuo-žetonas “ su kodu iš MFA programos:
aws sts get-session-token --serijos numeris arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Nukopijuokite pateiktus kredencialus bet kuriame redaktoriuje, kad vėliau galėtumėte juos naudoti kredencialų faile:
Norėdami redaguoti AWS kredencialų failą, naudokite šią komandą:
nano ~/.aws/credentials 
Į kredencialų failą pridėkite šį kodą:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = SecretKey
aws_session_token = Seanso ženklas
Pakeiskite AccessKey, SecretKey ir SessionToken naudodami „ AccessKeyId “, „ Secret AccessId “ ir „ SessionToken “, pateiktą ankstesniame veiksme:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = IQoJb3JpZ2luX2VjEH8aDmFwLXNvdXRoZWFzdC0xIkcwRQIhANdHKh53PNHamG1aaNFHYH+6x3xBI/oi4dPHi9Gv7wdPAiBFqZZtIcHg+A6J4HqV9pvN1AmCsC+WdBFEdNCtIIpCJirvAQhYEAEaDDY2Mzg3ODg5NDcyMyIM6ujtSkPhFzLfhsW6KswBiBfBeZAaIBPgMuLAKbRym58xlbHoQfAygrxrit671nT+43YZNWpWd/sX/ZpHI56PgBsbc6g2ZfBRQ/FTk3oSjWbl9e/SAzPgPLhje6Cf4iEc8slLjwDs/j5EGymADRowQDJsVvKePy1zTMXUj1U1byb0X6J3eNEPvx24Njg4ugJ95KzpPGnqdLrp/z/BnSN3dMt77O2mAleniQyPpw/nVGn73D60HtBx3EJzvmvwthHcdA6wM/Gvdij0VcRC4qoN/8FaymyCwvwvMeAVMPu/j6EGOpgBK4sd1Ek++dSVSCWBeOX6F93SgnTZkjKWFkc6ki4QXP0IQm/+NvBGviMJQAyJ/yRU58tW9Q9ERhgHSfwZNSKQ3EWsPlaCitJqQV15l8VDtPEyNgl1exAzBSt2ZZBthUc3VHKN/UyhgUXtn8Efv5E8HP+fblbeX2ExlfC9KnQj6Ob5sP5ZHvEnDkwSCJ6wpFq3qiWR3n75Dp0=
Patikrinkite pridėtus kredencialus naudodami šią komandą:
daugiau .aws/credentials 
Naudokite AWS CLI komandą su „ mfa “ profilis:
aws s3 ls --profile mfaSėkmingai paleidus aukščiau pateiktą komandą, MFA profilis buvo sėkmingai pridėtas:
Viskas apie MFA naudojimą su AWS CLI.
Išvada
Norėdami naudoti MFA su AWS CLI, priskirkite MFA IAM vartotojui ir sukonfigūruokite jį terminale. Po to vartotojui pridėkite tiesioginę politiką, kad jis galėtų naudoti tik tam tikras komandas per tą profilį. Kai tai bus padaryta, gaukite MFA kredencialus ir atnaujinkite juos AWS kredencialų faile. Vėlgi, norėdami valdyti AWS išteklius, naudokite AWS CLI komandas su MFA profiliu. Šiame vadove paaiškinta, kaip naudoti MFA su AWS CLI.