Multi-Factor Authentication (MFA) wordt gebruikt om een extra beveiligingslaag toe te voegen aan de IAM-accounts/identiteiten. Met AWS kunnen gebruikers MFA aan hun accounts toevoegen om hun bronnen nog beter te beschermen. AWS CLI is een andere methode om AWS-bronnen te beheren die ook via MFA kunnen worden beschermd.
In deze handleiding wordt uitgelegd hoe u MFA gebruikt met AWS CLI.
Hoe gebruik ik MFA met AWS CLI?
Ga naar Identity and Access Management (IAM) vanuit de AWS-console en klik op de knop ' Gebruikers ' bladzijde:
Selecteer het profiel door op de naam te klikken:
Het is vereist om een profiel ingeschakeld te hebben met MFA:
Bezoek de terminal vanaf uw lokale systeem en configureren de AWS CLI:
aws configure --profile demo 
Gebruik de AWS CLI-opdracht om de configuratie te bevestigen:
aws s3 ls --profile demoDoor de bovenstaande opdracht uit te voeren, werd de S3-bucketnaam weergegeven die aangeeft dat de configuratie correct is:
Ga terug naar de IAM Users-pagina en klik op de knop ' Rechten ' sectie:
Vouw in het gedeelte met machtigingen de optie ' Machtigingen toevoegen ” menu en klik op de “ Maak inline beleid ' knop:
Plak de volgende code in de JSON-sectie:
{'Versie': '2012-10-17',
'Stelling': [
{
'Sid': 'MoetBeSignedInWithMFA',
'Effect': 'Weigeren',
'NietActie': [
'iam:CreateVirtualMFADevice',
'iam:VirtualMFADevice verwijderen',
'al:lijstVirtualMFADevices',
'iam:MFA-apparaat inschakelen',
'jam:ResyncMFADevice',
'iam:ListAccountAliassen',
'al:LijstGebruikers',
'iam:LijstSSHPublicKeys',
'iam:LijstToegangssleutels',
'iam:ListServiceSpecificCredentials',
'al:ListMFADevices',
'iam:GetAccountSamenvatting',
'sts:GetSessionToken'
],
'Bron': '*',
'Voorwaarde': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Selecteer het tabblad JSON en plak de bovenstaande code in de editor. Klik op de ' Beoordelingsbeleid ' knop:
Typ de naam van het beleid:
Scroll naar beneden naar de onderkant van de pagina en klik op de ' Beleid maken ' knop:
Ga terug naar de terminal en controleer opnieuw de AWS CLI-opdracht:
aws s3 ls --profile demoNu geeft de uitvoering van de opdracht de ' Toegang geweigerd ' fout:
Kopieer de ARN van de ' Gebruikers ” MFA-account:
Het volgende is de syntaxis van de opdracht om de inloggegevens voor het MFA-account op te halen:
aws sts get-session-token --serienummer arn-of-the-mfa-device --token-code code-from-tokenVerander de ' arn-van-het-mfa-apparaat ” met de ID gekopieerd van het AWS IAM-dashboard en wijzig “ code-van-token ” met de code van de MFA-applicatie:
aws sts get-session-token --serienummer arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Kopieer de verstrekte inloggegevens naar een willekeurige editor om later in het inloggegevensbestand te gebruiken:
Gebruik de volgende opdracht om het AWS-referentiesbestand te bewerken:
nano ~/.aws/referenties 
Voeg de volgende code toe aan het referentiebestand:
[mfa]aws_access_key_id = Toegangssleutel
aws_secret_access_key = Geheime Sleutel
aws_session_token = SessieToken
Wijzig de AccessKey, SecretKey en SessionToken met de ' AccessKeyId ”, “ SecretAccessId ', En ' SessionToken ” verstrekt in de vorige stap:
[mfa]aws_access_key_id = Toegangssleutel
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Controleer de toegevoegde referenties met behulp van de volgende opdracht:
meer .aws/referenties 
Gebruik de AWS CLI-opdracht met de ' mfa ” profiel:
aws s3 ls --profile mfaHet succesvol uitvoeren van de bovenstaande opdracht suggereert dat het MFA-profiel met succes is toegevoegd:
Dit gaat allemaal over het gebruik van MFA met AWS CLI.
Conclusie
Om MFA met AWS CLI te gebruiken, wijst u MFA toe aan de IAM-gebruiker en configureert u deze vervolgens op de terminal. Voeg daarna een inline-beleid toe aan de gebruiker, zodat deze alleen bepaalde opdrachten via dat profiel kan gebruiken. Zodra dat is gebeurd, haalt u MFA-referenties op en werkt u deze bij in het AWS-referentiesbestand. Gebruik nogmaals AWS CLI-opdrachten met een MFA-profiel om AWS-bronnen te beheren. In deze handleiding is uitgelegd hoe u MFA kunt gebruiken met AWS CLI.