Comment utiliser MFA avec AWS CLI
L'authentification multi-facteurs (MFA) est utilisée pour ajouter une autre couche de sécurité aux comptes / identités IAM. AWS permet aux utilisateurs d'ajouter du MFA à leurs comptes pour protéger leurs ressources encore plus. AWS CLI est une autre méthode pour gérer les ressources AWS qui peuvent également être protégées via MFA.
Ce guide expliquera comment utiliser MFA avec AWS CLI.
Comment utiliser MFA avec AWS CLI?
Visitez la gestion de l'identité et de l'accès (IAM) depuis la console AWS et cliquez sur le «Utilisateurs»Page:
Sélectionnez le profil en cliquant sur son nom:
Il est nécessaire d'avoir un profil activé avec MFA:
Visitez le terminal de votre système local et configurez la CLI AWS:
AWS Configure - Demo ProfileUtilisez la commande AWS CLI pour confirmer la configuration:
AWS S3 LS - Demo ProfileL'exécution de la commande ci-dessus affichait le nom du seau S3 montrant que la configuration est correcte:
Retournez sur la page des utilisateurs IAM et cliquez sur le "Autorisation" section:
Dans la section des autorisations, élargissez le «Ajouter les autorisations«Menu et cliquez sur le«Créer une politique en ligne" bouton:
Collez le code suivant sur la section JSON:
"Version": "2012-10-17",
"Déclaration": [
"Sid": "MUSTBESignedInhithmfa",
"Effet": "nier",
"Notaction": [
"Iam: Createeviralmfadevice",
"IAM: DeleteVirtualMfadevice",
"IAM: ListVirtualMfadevices",
"Iam: pertiablemfadevice",
"Iam: resyncmfadevice",
"IAM: listAccountaliases",
"Iam: listusrs",
"Iam: listshpublickeys",
"IAM: ListAccessSkeys",
"IAM: ListServiceSpecificCredentials",
"IAM: listmfadevices",
"Iam: Getaccountsummary",
"STS: Getessiontoken"
]],
"Ressource": "*",
"Condition":
"Boolifexistes":
"AWS: MultiFactorAuthpresent": "False"
]]
Sélectionnez l'onglet JSON et collez le code ci-dessus à l'intérieur de l'éditeur. Clique sur le "Examen de la politique" bouton:
Tapez le nom de la politique:
Faites défiler vers le bas de la page et cliquez sur le «Créer une politique" bouton:
Revenez au terminal et vérifiez à nouveau la commande AWS CLI:
AWS S3 LS - Demo ProfileMaintenant, l'exécution de la commande affiche le «Accès refusé" erreur:
Copiez l'ARN du «Utilisateurs»Compte MFA:
Ce qui suit est la syntaxe de la commande pour obtenir les informations d'identification du compte MFA:
aws sts get-session-token --numéro de série arn-de-mfa-disonChanger la "arn-of-the-mfa-device"Avec l'identifiant copié du tableau de bord AWS IAM et changez"code à la tête”Avec le code de l'application MFA:
AWS STS Get-Session-Token - Sérial-numéro ARN: AWS: IAM :: ******* 94723: MFA / Authenticatrice - Code-Token 265291Copiez les informations d'identification fournies sur n'importe quel éditeur à utiliser dans le fichier des informations d'identification ultérieurement:
Utilisez la commande suivante pour modifier le fichier d'identification AWS:
nano ~ /.AWS / ContaliensAjoutez le code suivant au fichier des informations d'identification:
[MFA]aws_access_key_id = AccessKey
AWS_SECRET_ACCESS_KEY = SecretKey
aws_session_token = sessiontoken
Changez l'accès à l'accès, à la Secretkey et à SessionToken avec le «AccessKeyId","SecretAccesssid", et "Séance”Fourni à l'étape précédente:
[MFA]aws_access_key_id = AccessKey
aws_secret_access_key = t / secréty
aws_session_token = iqojb3jpz2lux2vjeh8admfwlxnvdxrozwfzdc0xikcwrqihandhkh53pnhamg1aanfhyh + 6x3xbi / oi4dphi9gv7wdpaibfqzzTechg + a6j4hqv9pvn1amcc / wedncccc + a6j4hqv9pvn1amcc / webfdsndn JirvaqhyeaEaddy2mzg3odg5ndcymyim6ujtskphfzlfhsw6kswbibfbezaaibpgmulakbrym58xlbhoqfaygrxrit671nt + 43yznwpwd / sx / zphi56pgbsbc6g2zfbrq / ftk3OSJ 6CF4IEC8SllJWDS / J5EGYMADROWQDJSVVKEPY1ZTMXUJ1U1BYB0X6J3ENEPVX24NJG4UGJ95KZPGGNQDLRP / Z / BNSN3DMT7O2MALENIQYPPW / NVGN73D60HTBX3EJZVMVE dij0vcrc4qon / 8faymycwvwvmeavmpu / j6egopgbk4sd1ek ++ dsvscwbeox6f93sgnntzkjkwfkc6ki4qxp0iqm / + nvbgvimjqayj / yru58tw9q9erhghsfwznskq3wspac Dtpeyngg1ExAZBST2ZZBTHUC3VHKN / UYHGUXTN8EFV5E8HP + FBLBEX2EXLFC9KNQJ6OB5SP5ZHVENDKWSCJ6WPFQ3QIWR3N75DP0 =
Vérifiez les informations d'identification ajoutées à l'aide de la commande suivante:
plus .AWS / ContaliensUtilisez la commande AWS CLI avec le «MFA" profil:
AWS S3 LS --Profile MFAL'exécution avec succès de la commande ci-dessus suggère que le profil MFA a été ajouté avec succès:
Il s'agit d'utiliser MFA avec AWS CLI.
Conclusion
Pour utiliser MFA avec AWS CLI, affectez MFA à l'utilisateur IAM, puis configurez-le sur le terminal. Après cela, ajoutez une stratégie en ligne à l'utilisateur afin qu'il ne puisse utiliser certaines commandes que via ce profil. Une fois cela fait, obtenez des informations d'identification MFA, puis mettez-les à jour sur le fichier AWS Identials. Encore une fois, utilisez des commandes AWS CLI avec un profil MFA pour gérer les ressources AWS. Ce guide a expliqué comment utiliser MFA avec AWS CLI.