אימות רב-גורמי (MFA) משמש להוספת שכבת אבטחה נוספת לחשבונות/זהויות IAM. AWS מאפשרת למשתמשים להוסיף MFA לחשבונות שלהם כדי להגן על המשאבים שלהם אפילו יותר. AWS CLI היא שיטה נוספת לניהול משאבי AWS שניתן להגן גם באמצעות MFA.
מדריך זה יסביר כיצד להשתמש ב-MFA עם AWS CLI.
כיצד להשתמש ב-MFA עם AWS CLI?
בקר בניהול זהות וגישה (IAM) ממסוף AWS ולחץ על ' משתמשים ' עמוד:
בחר את הפרופיל על ידי לחיצה על שמו:
יש צורך בפרופיל מופעל עם MFA:
בקר בטרמינל מהמערכת המקומית שלך ו להגדיר ה-AWS CLI:
aws configure --profile הדגמה 
השתמש בפקודה AWS CLI כדי לאשר את התצורה:
aws s3 ls --פרופיל הדגמההפעלת הפקודה לעיל הציגה את שם הדלי S3 המראה שהתצורה נכונה:
חזור לדף משתמשי IAM ולחץ על ' הרשאות ' קטע:
בקטע ההרשאות, הרחב את ' הוסף הרשאות ' תפריט ולחץ על ' צור מדיניות מוטבעת ' כפתור:
הדבק את הקוד הבא בקטע JSON:
{'גרסה': '2012-10-17',
'הצהרה': [
{
'Sid': 'MustBeSignedInWithMFA',
'אפקט': 'הכחיש',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'already:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'already:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'already:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'משאב': '*',
'מצב': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
בחר בלשונית JSON והדבק את הקוד לעיל בתוך העורך. הקלק על ה ' סקירת מדיניות ' כפתור:
הקלד את שם הפוליסה:
גלול מטה לתחתית העמוד ולחץ על ' צור מדיניות ' כפתור:
חזור לטרמינל ובדוק שוב את פקודת AWS CLI:
aws s3 ls --פרופיל הדגמהכעת ביצוע הפקודה מציג את ' גישה נדחתה שגיאה:
העתק את ה-ARN מה-' משתמשים ' חשבון MFA:
להלן התחביר של הפקודה לקבל את האישורים עבור חשבון MFA:
aws sts get-session-token --מספר סידורי arn-of-the-mfa-device --token-code code-from-tokenלשנות את ה ' arn-of-the-mfa-device ' עם המזהה שהועתק ממרכז השליטה של AWS IAM ושנה את ' קוד מתוך אסימון ' עם הקוד מאפליקציית MFA:
aws sts get-session-token --מספר סידורי arn:aws:iam::*******94723:mfa/Authenticator --קוד-אסימון 265291העתק את האישורים שסופקו בכל עורך שישמש בקובץ האישורים מאוחר יותר:
השתמש בפקודה הבאה כדי לערוך את קובץ האישורים של AWS:
nano ~/.aws/credentials 
הוסף את הקוד הבא לקובץ האישורים:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = מפתח סודי
aws_session_token = SessionToken
שנה את AccessKey, SecretKey ו-SessionToken עם ' AccessKeyId ', ' SecretAccessId ', ו' SessionToken ' שסופק בשלב הקודם:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = IQoJb3JpZ2luX2VjEH8aDmFwLXNvdXRoZWFzdC0xIkcwRQIhANdHKh53PNHamG1aaNFHYH+6x3xBI/oi4dPHi9Gv7wdPAiBFqZZtIcHg+A6J4HqV9pvN1AmCsC+WdBFEdNCtIIpCJirvAQhYEAEaDDY2Mzg3ODg5NDcyMyIM6ujtSkPhFzLfhsW6KswBiBfBeZAaIBPgMuLAKbRym58xlbHoQfAygrxrit671nT+43YZNWpWd/sX/ZpHI56PgBsbc6g2ZfBRQ/FTk3oSjWbl9e/SAzPgPLhje6Cf4iEc8slLjwDs/j5EGymADRowQDJsVvKePy1zTMXUj1U1byb0X6J3eNEPvx24Njg4ugJ95KzpPGnqdLrp/z/BnSN3dMt77O2mAleniQyPpw/nVGn73D60HtBx3EJzvmvwthHcdA6wM/Gvdij0VcRC4qoN/8FaymyCwvwvMeAVMPu/j6EGOpgBK4sd1Ek++dSVSCWBeOX6F93SgnTZkjKWFkc6ki4QXP0IQm/+NvBGviMJQAyJ/yRU58tW9Q9ERhgHSfwZNSKQ3EWsPlaCitJqQV15l8VDtPEyNgl1exAzBSt2ZZBthUc3VHKN/UyhgUXtn8Efv5E8HP+fblbeX2ExlfC9KnQj6Ob5sP5ZHvEnDkwSCJ6wpFq3qiWR3n75Dp0=
בדוק את האישורים שנוספו באמצעות הפקודה הבאה:
עוד .aws/אישורים 
השתמש בפקודה AWS CLI עם ' mfa 'פרופיל:
aws s3 ls --profile mfaהפעלה מוצלחת של הפקודה לעיל מעידה שפרופיל MFA נוסף בהצלחה:
זה הכל על שימוש ב-MFA עם AWS CLI.
סיכום
כדי להשתמש ב-MFA עם AWS CLI, הקצה MFA למשתמש IAM ולאחר מכן הגדר אותו במסוף. לאחר מכן, הוסף מדיניות מוטבעת למשתמש כך שהוא יוכל להשתמש רק בפקודות מסוימות דרך הפרופיל הזה. לאחר שזה נעשה, קבל אישורי MFA ולאחר מכן עדכן אותם בקובץ האישורים של AWS. שוב, השתמש בפקודות AWS CLI עם פרופיל MFA לניהול משאבי AWS. מדריך זה הסביר כיצד להשתמש ב-MFA עם AWS CLI.