Ginagamit ang Multi-Factor Authentication (MFA) upang magdagdag ng isa pang layer ng seguridad sa mga IAM account/identity. Binibigyang-daan ng AWS ang mga user na magdagdag ng MFA sa kanilang mga account upang maprotektahan pa ang kanilang mga mapagkukunan. Ang AWS CLI ay isa pang paraan upang pamahalaan ang mga mapagkukunan ng AWS na maaari ding protektahan sa pamamagitan ng MFA.
Ipapaliwanag ng gabay na ito kung paano gamitin ang MFA sa AWS CLI.
Paano Gamitin ang MFA sa AWS CLI?
Bisitahin ang Identity and Access Management (IAM) mula sa AWS console at mag-click sa “ Mga gumagamit ” pahina:
Piliin ang profile sa pamamagitan ng pag-click sa pangalan nito:
Kinakailangan na magkaroon ng isang profile na pinagana sa MFA:
Bisitahin ang Terminal mula sa iyong lokal na sistema at i-configure ang AWS CLI:
aws configure --profile demo 
Gamitin ang AWS CLI command para kumpirmahin ang configuration:
aws s3 ls --profile demoAng pagpapatakbo ng command sa itaas ay nagpakita ng S3 bucket name na nagpapakita na ang configuration ay tama:
Bumalik sa pahina ng Mga Gumagamit ng IAM at mag-click sa “ Mga Pahintulot ” seksyon:
Sa seksyon ng mga pahintulot, palawakin ang ' Magdagdag ng mga pahintulot ” menu at mag-click sa “ Lumikha ng inline na patakaran 'button:
I-paste ang sumusunod na code sa seksyong JSON:
{'Bersyon': '2012-10-17',
'Pahayag': [
{
'Sid': 'MustBeSignedInWithMFA',
'Epekto': 'Tanggihan',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'na:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'na:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'na:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Resource': '*',
'Kundisyon': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Piliin ang tab na JSON at i-paste ang code sa itaas sa loob ng editor. Mag-click sa “ Suriin ang patakaran 'button:
I-type ang pangalan ng patakaran:
Mag-scroll pababa sa ibaba ng pahina at mag-click sa “ Lumikha ng patakaran 'button:
Bumalik sa terminal at suriin muli ang AWS CLI command:
aws s3 ls --profile demoNgayon ang pagpapatupad ng utos ay nagpapakita ng ' Walang pahintulot ” error:
Kopyahin ang ARN mula sa ' Mga gumagamit ” MFA account:
Ang sumusunod ay ang syntax ng command para makuha ang mga kredensyal para sa MFA account:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenBaguhin ang ' arn-of-the-mfa-device ” gamit ang Identifier na kinopya mula sa AWS IAM dashboard at baguhin ang “ code-from-token ” kasama ang code mula sa MFA application:
aws sts get-session-token --serial-number arn:aws:iam::******94723:mfa/Authenticator --token-code 265291Kopyahin ang ibinigay na mga kredensyal sa anumang editor na gagamitin sa file ng mga kredensyal sa ibang pagkakataon:
Gamitin ang sumusunod na command para i-edit ang AWS Credentials file:
nano ~/.aws/credentials 
Idagdag ang sumusunod na code sa file ng mga kredensyal:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = SecretKey
aws_session_token = SessionToken
Baguhin ang AccessKey, SecretKey, at SessionToken gamit ang “ AccessKeyId ”, “ SecretAccessId ”, at “ SessionToken ” na ibinigay sa nakaraang hakbang:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Suriin ang mga idinagdag na kredensyal gamit ang sumusunod na command:
higit pa .aws/credentials 
Gamitin ang AWS CLI command na may ' mfa ” profile:
aws s3 ls --profile mfaAng matagumpay na pagpapatakbo ng command sa itaas ay nagmumungkahi na ang MFA profile ay matagumpay na naidagdag:
Ito ay tungkol sa paggamit ng MFA sa AWS CLI.
Konklusyon
Upang magamit ang MFA sa AWS CLI, italaga ang MFA sa user ng IAM at pagkatapos ay i-configure ito sa terminal. Pagkatapos nito, magdagdag ng isang inline na patakaran sa user upang maaari lamang itong gumamit ng ilang partikular na command sa pamamagitan ng profile na iyon. Kapag tapos na iyon, kumuha ng mga kredensyal ng MFA at pagkatapos ay i-update ang mga ito sa file ng mga kredensyal ng AWS. Muli, gumamit ng mga AWS CLI command na may MFA profile upang pamahalaan ang mga mapagkukunan ng AWS. Ipinaliwanag ng gabay na ito kung paano gamitin ang MFA sa AWS CLI.