Multi-Factor Authentication (MFA) bruges til at tilføje endnu et sikkerhedslag til IAM-konti/-identiteter. AWS giver brugerne mulighed for at tilføje MFA til deres konti for at beskytte deres ressourcer endnu mere. AWS CLI er en anden metode til at administrere AWS-ressourcer, som også kan beskyttes gennem MFA.
Denne guide vil forklare, hvordan man bruger MFA med AWS CLI.
Hvordan bruger man MFA med AWS CLI?
Besøg Identity and Access Management (IAM) fra AWS-konsollen og klik på ' Brugere ' side:
Vælg profilen ved at klikke på dens navn:
Det er påkrævet at have en profil aktiveret med MFA:
Besøg terminalen fra dit lokale system og konfigurere AWS CLI:
aws configure --profile demo 
Brug AWS CLI-kommandoen til at bekræfte konfigurationen:
aws s3 ls --profil demoVed at køre ovenstående kommando viste S3-spandnavnet, der viser, at konfigurationen er korrekt:
Gå tilbage til IAM-brugersiden og klik på ' Tilladelser ” afsnit:
I tilladelsessektionen skal du udvide ' Tilføj tilladelser '-menuen og klik på ' Opret inline politik ” knap:
Indsæt følgende kode på JSON-sektionen:
{'Version': '2012-10-17',
'Udmelding': [
{
'Sid': 'MustBeSignedInWithMFA',
'Effekt': 'Afvis',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'allerede:ListVirtualMFADenheder',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'allerede:ListUsers',
'iam:ListSSHPublicKeys',
'iam:List Access Keys',
'iam:ListServiceSpecificCredentials',
'allerede:ListMFADenheder',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Resource': '*',
'Tilstand': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'falsk'
}
}
}
]
}
Vælg fanen JSON, og indsæt ovenstående kode i editoren. Klik på ' Gennemgå politik ” knap:
Indtast navnet på politikken:
Rul ned til bunden af siden og klik på ' Opret politik ” knap:
Gå tilbage til terminalen og tjek igen AWS CLI-kommandoen:
aws s3 ls --profil demoNu viser udførelsen af kommandoen ' Adgang nægtet ' fejl:
Kopier ARN fra ' Brugere ” MFA-konto:
Følgende er syntaksen for kommandoen for at få legitimationsoplysningerne til MFA-kontoen:
aws sts get-session-token --serienummer arn-of-the-mfa-enheden --token-kode kode-fra-tokenSkift ' arn-of-the-mfa-enheden ' med identifikatoren kopieret fra AWS IAM-dashboardet og skift ' kode-fra-token ” med koden fra MFA-applikationen:
aws sts get-session-token --serienummer arn:aws:iam::*******94723:mfa/Authenticator --token-kode 265291Kopiér de angivne legitimationsoplysninger på en editor, der skal bruges i legitimationsfilen senere:
Brug følgende kommando til at redigere AWS-legitimationsfilen:
nano ~/.aws/credentials 
Tilføj følgende kode til legitimationsfilen:
[mfa]aws_access_key_id = Adgangsnøgle
aws_secret_access_key = Hemmelig nøgle
aws_session_token = SessionToken
Skift AccessKey, SecretKey og SessionToken med ' AccessKeyId ', ' SecretAccessId ', og ' SessionToken ” angivet i det foregående trin:
[mfa]aws_access_key_id = Adgangsnøgle
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Tjek de tilføjede legitimationsoplysninger ved hjælp af følgende kommando:
flere .aws/legitimationsoplysninger 
Brug AWS CLI-kommandoen med ' mfa ' profil:
aws s3 ls --profil mfaSuccesfuld kørsel af ovenstående kommando tyder på, at MFA-profilen er blevet tilføjet med succes:
Dette handler om at bruge MFA med AWS CLI.
Konklusion
For at bruge MFA med AWS CLI skal du tildele MFA til IAM-brugeren og derefter konfigurere den på terminalen. Derefter skal du tilføje en inline-politik til brugeren, så den kun kan bruge bestemte kommandoer gennem den profil. Når det er gjort, skal du hente MFA-legitimationsoplysninger og derefter opdatere dem på AWS-legitimationsfilen. Igen, brug AWS CLI-kommandoer med en MFA-profil til at administrere AWS-ressourcer. Denne vejledning har forklaret, hvordan man bruger MFA med AWS CLI.