Многофакторното удостоверяване (MFA) се използва за добавяне на друг защитен слой към IAM акаунтите/идентичностите. AWS позволява на потребителите да добавят MFA към своите акаунти, за да защитят още повече своите ресурси. AWS CLI е друг метод за управление на ресурси на AWS, който също може да бъде защитен чрез MFA.
Това ръководство ще обясни как да използвате MFA с AWS CLI.
Как да използвате MFA с AWS CLI?
Посетете Identity and Access Management (IAM) от конзолата на AWS и щракнете върху „ Потребители ” страница:
Изберете профила, като щракнете върху името му:
Изисква се профилът да е активиран с MFA:
Посетете терминала от вашата локална система и конфигурирайте AWS CLI:
aws configure --profile демо 
Използвайте командата AWS CLI, за да потвърдите конфигурацията:
aws s3 ls --демонстрация на профилИзпълнението на горната команда показва името на кофата S3, което показва, че конфигурацията е правилна:
Върнете се на страницата за потребители на IAM и щракнете върху „ Разрешения ” раздел:
В секцията с разрешения разгънете „ Добавете разрешения ” и щракнете върху „ Създайте вградена политика ” бутон:
Поставете следния код в секцията JSON:
{'Версия': '2012-10-17',
'Изявление': [
{
'Sid': 'MustBeSignedInWithMFA',
'Ефект': 'Отказ',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'вече: ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:Списък псевдоними на акаунти',
'вече: ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'вече: ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Ресурс': '*',
„Условие“: {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Изберете раздела JSON и поставете горния код в редактора. Кликнете върху „ Политика за преглед ” бутон:
Въведете името на политиката:
Превъртете надолу до края на страницата и щракнете върху „ Създайте политика ” бутон:
Върнете се към терминала и проверете отново AWS CLI командата:
aws s3 ls --демонстрация на профилСега изпълнението на командата показва „ Отказан достъп ” грешка:
Копирайте ARN от „ Потребители ” MFA сметка:
Следва синтаксисът на командата за получаване на идентификационните данни за MFA акаунта:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenПроменете „ arn-на-mfa-устройството ” с идентификатора, копиран от таблото за управление на AWS IAM и промяна на „ код-от-токен ” с кода от приложението на MFA:
aws sts get-session-token --serial-number arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Копирайте предоставените идентификационни данни във всеки редактор, за да ги използвате по-късно във файла с идентификационни данни:
Използвайте следната команда, за да редактирате файла с идентификационни данни на AWS:
nano ~/.aws/кредитни данни 
Добавете следния код към файла с идентификационни данни:
[mfa]aws_access_key_id = Ключ за достъп
aws_secret_access_key = SecretKey
aws_session_token = SessionToken
Променете AccessKey, SecretKey и SessionToken с „ AccessKeyId ”, “ SecretAccessId ', и ' SessionToken ”, предоставен в предишната стъпка:
[mfa]aws_access_key_id = Ключ за достъп
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Проверете добавените идентификационни данни, като използвате следната команда:
повече .aws/кредитни данни 
Използвайте командата AWS CLI с „ МВнР ” профил:
aws s3 ls --профил mfaУспешното изпълнение на горната команда предполага, че MFA профилът е добавен успешно:
Това е всичко за използването на MFA с AWS CLI.
Заключение
За да използвате MFA с AWS CLI, задайте MFA на IAM потребителя и след това го конфигурирайте на терминала. След това добавете вградена политика към потребителя, така че да може да използва само определени команди през този профил. След като това стане, вземете MFA идентификационни данни и след това ги актуализирайте във файла с идентификационни данни на AWS. Отново използвайте AWS CLI команди с MFA профил, за да управлявате AWS ресурси. Това ръководство обяснява как да използвате MFA с AWS CLI.