Multi-Factor Authentication (MFA) digunakan untuk menambah satu lagi lapisan keselamatan pada akaun/identiti IAM. AWS membenarkan pengguna menambahkan MFA pada akaun mereka untuk melindungi sumber mereka dengan lebih banyak lagi. AWS CLI ialah kaedah lain untuk mengurus sumber AWS yang juga boleh dilindungi melalui MFA.
Panduan ini akan menerangkan cara menggunakan MFA dengan AWS CLI.
Bagaimana untuk Menggunakan MFA dengan AWS CLI?
Lawati Pengurusan Identiti dan Akses (IAM) daripada konsol AWS dan klik pada “ Pengguna ” halaman:
Pilih profil dengan mengklik pada namanya:
Profil perlu didayakan dengan MFA:
Lawati Terminal dari sistem tempatan anda dan mengkonfigurasi AWS CLI:
aws configure --profile demo
Gunakan arahan AWS CLI untuk mengesahkan konfigurasi:
aws s3 ls --demo profilMenjalankan arahan di atas memaparkan nama baldi S3 menunjukkan bahawa konfigurasi adalah betul:
Kembali ke halaman Pengguna IAM dan klik pada “ kebenaran bahagian ”:
Dalam bahagian kebenaran, kembangkan “ Tambah kebenaran menu ” dan klik pada “ Buat dasar sebaris butang ”:
Tampalkan kod berikut pada bahagian JSON:
{'Versi': '2012-10-17',
'Kenyataan': [
{
'Sid': 'MustBeSignedInWithMFA',
'Kesan': 'Nafikan',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'sudah:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'sudah:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'sudah:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Sumber': '*',
'Keadaan': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Pilih tab JSON dan tampal kod di atas di dalam editor. Klik pada ' Semak semula dasar butang ”:
Taip nama dasar:
Tatal ke bawah ke bahagian bawah halaman dan klik pada ' Buat dasar butang ”:
Kembali ke terminal dan semak semula arahan AWS CLI:
aws s3 ls --demo profilSekarang pelaksanaan arahan memaparkan ' Akses dinafikan ” ralat:
Salin ARN daripada ' Pengguna ” Akaun MFA:
Berikut ialah sintaks arahan untuk mendapatkan bukti kelayakan untuk akaun MFA:
aws sts get-session-token --nombor-siri arn-of-the-mfa-device --token-code code-from-tokenTukar ' arn-of-the-mfa-device ” dengan Pengecam disalin daripada papan pemuka AWS IAM dan tukar “ kod-dari-token ” dengan kod daripada aplikasi MFA:
aws sts get-session-token --siri-nombor arn:aws:iam::******94723:mfa/Authenticator --token-code 265291Salin bukti kelayakan yang disediakan pada mana-mana editor untuk digunakan dalam fail bukti kelayakan kemudian:
Gunakan arahan berikut untuk mengedit fail AWS Credentials:
nano ~/.aws/credentials
Tambahkan kod berikut pada fail kelayakan:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = SecretKey
aws_session_token = SessionToken
Tukar AccessKey, SecretKey dan SessionToken dengan “ AccessKeyId ”, “ SecretAccessId ”, dan “ SessionToken ” disediakan dalam langkah sebelumnya:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Semak kelayakan yang ditambahkan menggunakan arahan berikut:
lebih .aws/tauliah
Gunakan arahan AWS CLI dengan ' mfa ” profil:
aws s3 ls --profile mfaBerjaya menjalankan arahan di atas menunjukkan bahawa profil MFA telah berjaya ditambahkan:
Ini semua tentang menggunakan MFA dengan AWS CLI.
Kesimpulan
Untuk menggunakan MFA dengan AWS CLI, tetapkan MFA kepada pengguna IAM dan kemudian konfigurasikannya pada terminal. Selepas itu, tambahkan dasar sebaris kepada pengguna supaya ia hanya boleh menggunakan arahan tertentu melalui profil tersebut. Setelah itu selesai, dapatkan bukti kelayakan MFA dan kemudian kemas kininya pada fail bukti kelayakan AWS. Sekali lagi, gunakan arahan AWS CLI dengan profil MFA untuk mengurus sumber AWS. Panduan ini telah menerangkan cara menggunakan MFA dengan AWS CLI.