Multi-Factor Authentication (MFA) viene utilizzato per aggiungere un altro livello di sicurezza agli account/identità IAM. AWS consente agli utenti di aggiungere MFA ai propri account per proteggere ancora di più le proprie risorse. AWS CLI è un altro metodo per gestire le risorse AWS che possono essere protette anche tramite MFA.
Questa guida spiegherà come utilizzare MFA con AWS CLI.
Come utilizzare MFA con AWS CLI?
Visita Identity and Access Management (IAM) dalla console AWS e fai clic su ' Utenti ' pagina:
Seleziona il profilo cliccando sul suo nome:
È necessario disporre di un profilo abilitato con MFA:
Visita il terminale dal tuo sistema locale e configurare l'AWS CLI:
aws configure --profile demo 
Utilizza il comando AWS CLI per confermare la configurazione:
aws s3 ls --profile demoL'esecuzione del comando precedente ha visualizzato il nome del bucket S3 che mostra che la configurazione è corretta:
Torna alla pagina Utenti IAM e fai clic su ' Autorizzazioni ' sezione:
Nella sezione delle autorizzazioni, espandi ' Aggiungi autorizzazioni ” menu e fare clic su “ Crea criterio in linea pulsante ':
Incolla il seguente codice nella sezione JSON:
{'Versione': '2012-10-17',
'Dichiarazione': [
{
'Sid': 'MustBeSignedInWithMFA',
'Effetto': 'Nega',
'Non azione': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'già:ListVirtualMFADevices',
'iam:EnableMFADevice',
'inceppamento:ResyncMFADevice',
'iam:ListAccountAliases',
'già:ListUsers',
'iam:ElencoSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'già:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Risorsa': '*',
'Condizione': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'falso'
}
}
}
]
}
Seleziona la scheda JSON e incolla il codice sopra all'interno dell'editor. Clicca sul ' Politica di revisione pulsante ':
Digita il nome della politica:
Scorri verso il basso fino alla fine della pagina e fai clic su ' Crea criterio pulsante ':
Torna al terminale e controlla di nuovo il comando AWS CLI:
aws s3 ls --profile demoOra l'esecuzione del comando visualizza il ' Accesso negato 'errore:
Copia l'ARN dal ' Utenti ' Conto MFA:
Di seguito è riportata la sintassi del comando per ottenere le credenziali per l'account MFA:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenCambiare il ' arn-del-dispositivo-mfa ” con l'identificatore copiato dal dashboard AWS IAM e modifica “ codice-dal-token ” con il codice dell'applicazione MFA:
aws sts get-session-token --serial-number arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Copia le credenziali fornite su qualsiasi editor da utilizzare successivamente nel file delle credenziali:
Utilizza il seguente comando per modificare il file delle credenziali AWS:
nano ~/.aws/credentials 
Aggiungere il seguente codice al file delle credenziali:
[MFA]aws_access_key_id = Chiave di accesso
aws_secret_access_key = Chiave segreta
aws_session_token = Token sessione
Cambia AccessKey, SecretKey e SessionToken con ' AccessKeyId ”, “ ID accesso segreto ', E ' token di sessione ” fornito nel passaggio precedente:
[MFA]aws_access_key_id = Chiave di accesso
aws_secret_access_key = t/SecretKey
aws_session_token = IQoJb3JpZ2luX2VjEH8aDmFwLXNvdXRoZWFzdC0xIkcwRQIhANdHKh53PNHamG1aaNFHYH+6x3xBI/oi4dPHi9Gv7wdPAiBFqZZtIcHg+A6J4HqV9pvN1AmCsC+WdBFEdNCtIIpCJirvAQhYEAEaDDY2Mzg3ODg5NDcyMyIM6ujtSkPhFzLfhsW6KswBiBfBeZAaIBPgMuLAKbRym58xlbHoQfAygrxrit671nT+43YZNWpWd/sX/ZpHI56PgBsbc6g2ZfBRQ/FTk3oSjWbl9e/SAzPgPLhje6Cf4iEc8slLjwDs/j5EGymADRowQDJsVvKePy1zTMXUj1U1byb0X6J3eNEPvx24Njg4ugJ95KzpPGnqdLrp/z/BnSN3dMt77O2mAleniQyPpw/nVGn73D60HtBx3EJzvmvwthHcdA6wM/Gvdij0VcRC4qoN/8FaymyCwvwvMeAVMPu/j6EGOpgBK4sd1Ek++dSVSCWBeOX6F93SgnTZkjKWFkc6ki4QXP0IQm/+NvBGviMJQAyJ/yRU58tW9Q9ERhgHSfwZNSKQ3EWsPlaCitJqQV15l8VDtPEyNgl1exAzBSt2ZZBthUc3VHKN/UyhgUXtn8Efv5E8HP+fblbeX2ExlfC9KnQj6Ob5sP5ZHvEnDkwSCJ6wpFq3qiWR3n75Dp0=
Controlla le credenziali aggiunte usando il seguente comando:
più .aws/credenziali 
Utilizza il comando AWS CLI con ' mfa 'profilo:
aws s3 ls --profile mfaL'esecuzione corretta del comando precedente suggerisce che il profilo MFA è stato aggiunto correttamente:
Si tratta di utilizzare MFA con AWS CLI.
Conclusione
Per utilizzare MFA con AWS CLI, assegna MFA all'utente IAM e quindi configuralo sul terminale. Successivamente, aggiungi una policy inline all'utente in modo che possa utilizzare solo determinati comandi tramite quel profilo. Al termine, ottieni le credenziali MFA e quindi aggiornale nel file delle credenziali AWS. Ancora una volta, utilizza i comandi AWS CLI con un profilo MFA per gestire le risorse AWS. Questa guida ha spiegato come utilizzare MFA con AWS CLI.