Multi-Factor Authentication (MFA) kasutatakse IAM-i kontodele/identiteetidele teise turbekihi lisamiseks. AWS võimaldab kasutajatel lisada oma kontodele MFA-d, et oma ressursse veelgi paremini kaitsta. AWS CLI on teine meetod AWS-i ressursside haldamiseks, mida saab kaitsta ka MFA kaudu.
See juhend selgitab, kuidas kasutada MFA-d koos AWS-i CLI-ga.
Kuidas kasutada MFA-d koos AWS CLI-ga?
Külastage AWS-i konsoolist identiteedi ja juurdepääsu haldust (IAM) ja klõpsake nuppu ' Kasutajad ” leht:
Valige profiil, klõpsates selle nimel:
MFA-ga peab olema lubatud profiil:
Külastage oma kohalikust süsteemist terminali ja seadistada AWS CLI:
aws configure --profiili demo
Kasutage konfiguratsiooni kinnitamiseks käsku AWS CLI:
aws s3 ls --profiili demoÜlaltoodud käsu käivitamisel kuvati S3 ämbri nimi, mis näitab, et konfiguratsioon on õige:
Minge tagasi IAM-i kasutajate lehele ja klõpsake nuppu ' load ” jaotis:
Lubade jaotises laiendage valikut ' Lisa õigused ' menüü ja klõpsake nuppu ' Loo tekstisisene poliitika ” nupp:
Kleepige JSON-i jaotisesse järgmine kood:
{'Versioon': '2012-10-17',
'Avaldus': [
{
'Sid': 'MustBe SignedInWithMFA',
'Effect': 'Keela',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'already:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'already:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'already:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Ressurss': '*',
'Seisukord': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Valige vahekaart JSON ja kleepige ülaltoodud kood redaktorisse. Klõpsake nuppu ' Eeskirjade ülevaatamine ” nupp:
Sisestage poliitika nimi:
Kerige lehe allossa ja klõpsake nuppu ' Loo poliitika ” nupp:
Minge tagasi terminali ja kontrollige uuesti AWS CLI käsku:
aws s3 ls --profiili demoNüüd kuvab käsu täitmine ' Ligipääs keelatud ” viga:
Kopeerige ARN jaotisest ' Kasutajad ” MFA konto:
Järgmine on MFA konto mandaatide hankimise käsu süntaks:
aws sts get-session-token -- seerianumber arn-of-the-mfa-device -- token-code code-from-tokenMuuda ' arn-of-the-mfa-seade ' koos AWS IAM-i armatuurlaualt kopeeritud identifikaatoriga ja muutke ' kood-token ” MFA rakenduse koodiga:
aws sts get-session-token -- seerianumber arn:aws:iam::*******94723:mfa/Authenticator -- token-code 265291Kopeerige antud mandaadid mis tahes redaktoris, et neid hiljem mandaadifailis kasutada:
Kasutage AWS-i mandaatide faili redigeerimiseks järgmist käsku:
nano ~/.aws/credentials
Lisage mandaadifaili järgmine kood:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = Salajane võti
aws_session_token = Seansimärk
Muutke AccessKey, SecretKey ja SessionToken nupuga ' AccessKeyId ”, “ Secret AccessId ”, ja „ SessionToken ', mis on esitatud eelmises etapis:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = IQoJb3JpZ2luX2VjEH8aDmFwLXNvdXRoZWFzdC0xIkcwRQIhANdHKh53PNHamG1aaNFHYH+6x3xBI/oi4dPHi9Gv7wdPAiBFqZZtIcHg+A6J4HqV9pvN1AmCsC+WdBFEdNCtIIpCJirvAQhYEAEaDDY2Mzg3ODg5NDcyMyIM6ujtSkPhFzLfhsW6KswBiBfBeZAaIBPgMuLAKbRym58xlbHoQfAygrxrit671nT+43YZNWpWd/sX/ZpHI56PgBsbc6g2ZfBRQ/FTk3oSjWbl9e/SAzPgPLhje6Cf4iEc8slLjwDs/j5EGymADRowQDJsVvKePy1zTMXUj1U1byb0X6J3eNEPvx24Njg4ugJ95KzpPGnqdLrp/z/BnSN3dMt77O2mAleniQyPpw/nVGn73D60HtBx3EJzvmvwthHcdA6wM/Gvdij0VcRC4qoN/8FaymyCwvwvMeAVMPu/j6EGOpgBK4sd1Ek++dSVSCWBeOX6F93SgnTZkjKWFkc6ki4QXP0IQm/+NvBGviMJQAyJ/yRU58tW9Q9ERhgHSfwZNSKQ3EWsPlaCitJqQV15l8VDtPEyNgl1exAzBSt2ZZBthUc3VHKN/UyhgUXtn8Efv5E8HP+fblbeX2ExlfC9KnQj6Ob5sP5ZHvEnDkwSCJ6wpFq3qiWR3n75Dp0=
Kontrollige lisatud mandaate järgmise käsu abil:
rohkem .aws/credentials
Kasutage AWS CLI käsku koos käsuga ' mfa ” profiil:
aws s3 ls --profiil mfaÜlaltoodud käsu edukas käivitamine viitab sellele, et MFA profiil on edukalt lisatud:
See kõik puudutab MFA kasutamist koos AWS CLI-ga.
Järeldus
MFA kasutamiseks koos AWS CLI-ga määrake MFA IAM-i kasutajale ja seejärel konfigureerige see terminalis. Pärast seda lisage kasutajale tekstisisene poliitika, et ta saaks selle profiili kaudu kasutada ainult teatud käske. Kui see on tehtud, hankige MFA mandaadid ja seejärel värskendage neid AWS-i mandaatide failis. Jällegi kasutage AWS-i ressursside haldamiseks MFA-profiiliga AWS-i CLI-käske. Selles juhendis on selgitatud, kuidas kasutada MFA-d koos AWS-i CLI-ga.