Multi-Factor Authentication (MFA) brukes til å legge til enda et sikkerhetslag til IAM-kontoene/identitetene. AWS lar brukere legge til MFA til kontoene sine for å beskytte ressursene deres enda mer. AWS CLI er en annen metode for å administrere AWS-ressurser som også kan beskyttes gjennom MFA.
Denne veiledningen vil forklare hvordan du bruker MFA med AWS CLI.
Hvordan bruke MFA med AWS CLI?
Gå til Identity and Access Management (IAM) fra AWS-konsollen og klikk på ' Brukere ' side:
Velg profilen ved å klikke på navnet:
Det kreves å ha en profil aktivert med MFA:
Besøk terminalen fra ditt lokale system og konfigurere AWS CLI:
aws configure --profile demo 
Bruk AWS CLI-kommandoen for å bekrefte konfigurasjonen:
aws s3 ls --profildemoVed å kjøre kommandoen ovenfor viste S3-bøttenavnet som viser at konfigurasjonen er riktig:
Gå tilbake til IAM-brukersiden og klikk på ' Tillatelser ' seksjon:
I tillatelsesdelen utvider du ' Legg til tillatelser '-menyen og klikk på ' Lag inline policy ”-knapp:
Lim inn følgende kode på JSON-delen:
{'Versjon': '2012-10-17',
'Erklæring': [
{
'Sid': 'MustBeSignedInWithMFA',
'Effekt': 'Nekt',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'allerede:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'allerede:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccess Keys',
'iam:ListServiceSpecificCredentials',
'allerede:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Ressurs': '*',
'Betingelse': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Velg JSON-fanen og lim inn koden ovenfor i redigeringsprogrammet. Klikk på ' Gjennomgå retningslinjer ”-knapp:
Skriv inn navnet på policyen:
Rull ned til bunnen av siden og klikk på ' Lag politikk ”-knapp:
Gå tilbake til terminalen og sjekk igjen AWS CLI-kommandoen:
aws s3 ls --profildemoNå viser utførelsen av kommandoen ' Ingen tilgang ' feil:
Kopier ARN fra ' Brukere MFA-konto:
Følgende er syntaksen til kommandoen for å få legitimasjonen for MFA-kontoen:
aws sts get-session-token --serienummer arn-of-the-mfa-device --token-code code-from-tokenEndre ' arn-of-the-mfa-enhet ' med identifikatoren kopiert fra AWS IAM-dashbordet og endre ' kode-fra-token ” med koden fra MFA-applikasjonen:
aws sts get-session-token --serienummer arn:aws:iam::*******94723:mfa/Authenticator --token-kode 265291Kopier den oppgitte legitimasjonen til et hvilket som helst redigeringsprogram for å brukes i legitimasjonsfilen senere:
Bruk følgende kommando for å redigere AWS-legitimasjonsfilen:
nano ~/.aws/legitimasjon 
Legg til følgende kode i legitimasjonsfilen:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = Hemmelig nøkkel
aws_session_token = SessionToken
Endre AccessKey, SecretKey og SessionToken med ' AccessKeyId ', ' Secret AccessId ', og ' SessionToken ' gitt i forrige trinn:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Sjekk den tillagte legitimasjonen ved å bruke følgende kommando:
flere .aws/legitimasjon 
Bruk AWS CLI-kommandoen med ' mfa profil:
aws s3 ls --profil mfaVellykket kjøring av kommandoen ovenfor antyder at MFA-profilen har blitt lagt til:
Dette handler om å bruke MFA med AWS CLI.
Konklusjon
For å bruke MFA med AWS CLI, tilordne MFA til IAM-brukeren og deretter konfigurere den på terminalen. Etter det, legg til en innebygd policy til brukeren slik at den bare kan bruke visse kommandoer gjennom den profilen. Når det er gjort, skaff deg MFA-legitimasjon og oppdater dem deretter på AWS-legitimasjonsfilen. Igjen, bruk AWS CLI-kommandoer med en MFA-profil for å administrere AWS-ressurser. Denne veiledningen har forklart hvordan du bruker MFA med AWS CLI.