Multi-Factor Authentication (MFA) koristi se za dodavanje još jednog sigurnosnog sloja IAM računima/identitetima. AWS omogućuje korisnicima da dodaju MFA svojim računima kako bi još više zaštitili svoje resurse. AWS CLI je još jedna metoda za upravljanje AWS resursima koji se također mogu zaštititi putem MFA.
Ovaj će vodič objasniti kako koristiti MFA s AWS CLI.
Kako koristiti MFA s AWS CLI?
Posjetite Identity and Access Management (IAM) s AWS konzole i kliknite na ' Korisnici ” stranica:
Odaberite profil klikom na njegov naziv:
Potrebno je imati profil omogućen s MFA:
Posjetite terminal iz vašeg lokalnog sustava i konfigurirati AWS CLI:
aws configure --profile demo 
Koristite naredbu AWS CLI za potvrdu konfiguracije:
aws s3 ls --demonstracija profilaPokretanje gornje naredbe prikazalo je naziv S3 spremnika koji pokazuje da je konfiguracija ispravna:
Vratite se na stranicu IAM korisnici i kliknite na ' Dozvole ” odjeljak:
U odjeljku dopuštenja proširite ' Dodajte dozvole ' i kliknite na ' Stvorite ugrađenu politiku ' dugme:
Zalijepite sljedeći kod u odjeljak JSON:
{'Verzija': '2012-10-17',
'Izjava': [
{
'Sid': 'MustBeSignedInWithMFA',
'Effect': 'Odbij',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'već:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'već:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'već:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Resurs': '*',
'Uvjet': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Odaberite karticu JSON i zalijepite gornji kod u uređivač. Klikni na ' Politika pregleda ' dugme:
Upišite naziv pravila:
Pomaknite se prema dolje do dna stranice i kliknite na ' Stvorite politiku ' dugme:
Vratite se do terminala i ponovno provjerite AWS CLI naredbu:
aws s3 ls --demonstracija profilaSada izvršenje naredbe prikazuje ' Pristup odbijen ” pogreška:
Kopirajte ARN iz ' Korisnici ” MFA račun:
Slijedi sintaksa naredbe za dobivanje vjerodajnica za MFA račun:
aws sts get-session-token --serijski-broj arn-of-the-mfa-device --token-code code-from-tokenPromijeni ' arn-od-mfa-uređaja ” s identifikatorom kopiranim s nadzorne ploče AWS IAM i promijenite “ kod-iz-tokena ” s kodom iz aplikacije MFA:
aws sts get-session-token --serijski-broj arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Kopirajte navedene vjerodajnice u bilo koji uređivač da biste ih kasnije upotrijebili u datoteci vjerodajnica:
Koristite sljedeću naredbu za uređivanje AWS datoteke vjerodajnica:
nano ~/.aws/vjerodajnice 
Dodajte sljedeći kod u datoteku vjerodajnica:
[mfa]aws_access_key_id = Pristupni ključ
aws_secret_access_key = Tajni ključ
aws_session_token = Token sesije
Promijenite AccessKey, SecretKey i SessionToken pomoću ' AccessKeyId ”, “ SecretAccessId ', i ' SessionToken ” navedeno u prethodnom koraku:
[mfa]aws_access_key_id = Pristupni ključ
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Provjerite dodane vjerodajnice pomoću sljedeće naredbe:
više .aws/vjerodajnice 
Koristite naredbu AWS CLI s ' mfa ' profil:
aws s3 ls --profil mfaUspješno izvođenje gornje naredbe sugerira da je MFA profil uspješno dodan:
Ovdje se radi o korištenju MFA s AWS CLI.
Zaključak
Da biste koristili MFA s AWS CLI, dodijelite MFA IAM korisniku i zatim ga konfigurirajte na terminalu. Nakon toga, dodajte inline pravilo korisniku tako da može koristiti samo određene naredbe kroz taj profil. Nakon što to učinite, nabavite MFA vjerodajnice, a zatim ih ažurirajte u AWS datoteci vjerodajnica. Opet, koristite AWS CLI naredbe s MFA profilom za upravljanje AWS resursima. Ovaj vodič je objasnio kako koristiti MFA s AWS CLI.