Hvordan bruke MFA med AWS CLI
Multifaktorautentisering (MFA) brukes til å legge til et annet sikkerhetslag til IAM-kontoer/identiteter. AWS lar brukere legge til MFA til sine kontoer for å beskytte ressursene sine enda mer. AWS CLI er en annen metode for å administrere AWS -ressurser som også kan beskyttes gjennom MFA.
Denne guiden vil forklare hvordan du bruker MFA med AWS CLI.
Hvordan bruke MFA med AWS CLI?
Besøk Identity and Access Management (IAM) fra AWS -konsollen og klikk på "Brukere”Side:
Velg profilen ved å klikke på navnet:
Det kreves å ha en profil aktivert med MFA:
Besøk terminalen fra ditt lokale system og konfigurer AWS CLI:
AWS Konfigurer -Profil DemoBruk AWS CLI -kommandoen for å bekrefte konfigurasjon:
AWS S3 LS -Profil DemoKjører kommandoen ovenfor viste S3 -bøttenavnet som viser at konfigurasjonen er riktig:
Gå tilbake til IAM -brukernes side og klikk på “Tillatelser" seksjon:
I tillatelsesdelen, utvid "Legg til tillatelser”Meny og klikk på“Lag inline -policy”Knapp:
Lim inn følgende kode på JSON -delen:
"Versjon": "2012-10-17",
"Uttalelse": [
"Sid": "MustbesignedInwithMfa",
"Effekt": "fornekter",
"NotAction": [
"IAM: CreateVirtualMfadevice",
"IAM: DeletevirtualMfadevice",
"IAM: ListVirtualMfadevices",
"IAM: Enablemfadevice",
"IAM: Resyncmfadevice",
"IAM: Listaccountaliases",
"IAM: Listusers",
"IAM: Listssshpublickeys",
"IAM: ListAccessKeys",
"IAM: ListservicesPesificCredentials",
"IAM: listmfadevices",
"IAM: GetAccountsummary",
"STS: getessiontoken"
],
"Ressurs": "*",
"Betingelse":
"Boolifexists":
"AWS: multifactorauthpresent": "falsk"
]
Velg JSON -fanen og lim inn ovennevnte kode inne i redigereren. Klikk på "Gjennomgangspolicy”Knapp:
Skriv inn navnet på policyen:
Bla ned til bunnen av siden og klikk på "Opprett politikk”Knapp:
Gå tilbake til terminalen og sjekk AWS CLI -kommandoen igjen:
AWS S3 LS -Profil DemoNå viser utførelsen av kommandoen "Ingen tilgang”Feil:
Kopier ARN fra “Brukere”MFA -konto:
Følgende er syntaks for kommandoen for å få legitimasjon for MFA -kontoen:
AWS STS GET-Session-Token-Serial-Number Arn-of-the-MFA-Device--Token-kode-kode-fra-TokenEndre “Arn-of-the-MFA-enhet”Med identifikatoren kopiert fra AWS IAM -dashbordet og endring”Kode-fra-Token”Med koden fra MFA -applikasjonen:
AWS STS GET-SESSION-Token-Serial-Number Arn: AWS: IAM :: ******* 94723: MFA/Authenticator--token-kode 265291Kopier den oppgitte legitimasjonen på en hvilken som helst redaktør som skal brukes i legitimasjonsfilen senere:
Bruk følgende kommando for å redigere AWS -legitimasjonsfilen:
Nano ~/.AWS/legitimasjonLegg til følgende kode i legitimasjonsfilen:
[MFA]aws_access_key_id = accessKey
aws_secret_access_key = SecretKey
AWS_SESSION_TOKEN = SessionToken
Endre AccessKey, SecretKey og SessionToken med “AccessKeyid”,“Hemmelighet”, Og“SessionToken”Tilbyr i forrige trinn:
[MFA]aws_access_key_id = accessKey
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Sjekk den ekstra legitimasjonen ved å bruke følgende kommando:
mer .AWS/legitimasjonBruk AWS CLI -kommandoen med “MFA”Profil:
AWS S3 LS -Profil MFAVellykket å kjøre kommandoen ovenfor antyder at MFA -profilen er lagt til vellykket:
Dette handler om å bruke MFA med AWS CLI.
Konklusjon
For å bruke MFA med AWS CLI, tilordne MFA til IAM -brukeren og konfigurer den deretter på terminalen. Etter det, legg til en inline policy til brukeren slik at den bare kan bruke visse kommandoer gjennom den profilen. Når det er gjort, får du MFA -legitimasjon og oppdater dem deretter på AWS -legitimasjonsfilen. Igjen, bruk AWS CLI -kommandoer med en MFA -profil for å administrere AWS -ressurser. Denne guiden har forklart hvordan du bruker MFA med AWS CLI.