多要素認証 (MFA) は、別のセキュリティ レイヤーを IAM アカウント/ID に追加するために使用されます。 AWS では、ユーザーが自分のアカウントに MFA を追加して、リソースをさらに保護することができます。 AWS CLI は、MFA によっても保護できる AWS リソースを管理するもう 1 つの方法です。
このガイドでは、AWS CLI で MFA を使用する方法について説明します。
AWS CLI で MFA を使用する方法?
AWS コンソールから Identity and Access Management (IAM) にアクセスし、「 ユーザー 」 ページ:
名前をクリックしてプロファイルを選択します。
MFA でプロファイルを有効にする必要があります。
ローカル システムからターミナルにアクセスし、 構成、設定 AWS CLI:
aws configure --profile デモ
AWS CLI コマンドを使用して設定を確認します。
aws s3 ls --profile デモ上記のコマンドを実行すると、構成が正しいことを示す S3 バケット名が表示されました。
IAM ユーザーページに戻り、「 権限 ' セクション:
権限セクションで、「 権限を追加する 」メニューをクリックし、「 インライン ポリシーを作成する ' ボタン:
次のコードを JSON セクションに貼り付けます。
{'バージョン': '2012-10-17',
'声明': [
{
'シド': 'MustBeSignedInWithMFA',
'効果': '拒否',
'アクションなし': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'既に:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'already:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'既に:ListMFADevices',
'iam:GetAccountSummary',
「sts:GetSessionToken」
]、
'リソース': '*'、
'状態': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
JSON タブを選択し、上記のコードをエディター内に貼り付けます。クリックしてください ' ポリシーの確認 ' ボタン:
ポリシーの名前を入力します。
ページの一番下までスクロールして、「 ポリシーの作成 ' ボタン:
ターミナルに戻り、AWS CLI コマンドを再度確認します。
aws s3 ls --profile デモコマンドを実行すると、「 アクセス拒否 ' エラー:
「から ARN をコピーします。 ユーザー 」 MFA アカウント:
以下は、MFA アカウントの資格情報を取得するコマンドの構文です。
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-token変更 ' arn-of-the-mfa-device 」を AWS IAM ダッシュボードからコピーした識別子を使用して「 トークンからのコード 」を MFA アプリケーションのコードに置き換えます。
aws sts get-session-token --serial-number arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291提供された資格情報をエディターでコピーして、後で資格情報ファイルで使用します。
次のコマンドを使用して、AWS 認証情報ファイルを編集します。
nano ~/.aws/credentials
認証情報ファイルに次のコードを追加します。
[マファ]aws_access_key_id = アクセスキー
aws_secret_access_key = シークレットキー
aws_session_token = セッショントークン
AccessKey、SecretKey、および SessionToken を「 アクセスキー ID 」、「 SecretAccessId '、 と ' セッショントークン 」 前のステップで提供された:
[マファ]aws_access_key_id = アクセスキー
aws_secret_access_key = t/シークレットキー
aws_session_token = IQoJb3JpZ2luX2VjEH8aDmFwLXNvdXRoZWFzdC0xIkcwRQIhANdHKh53PNHamG1aaNFHYH+6x3xBI/oi4dPHi9Gv7wdPAiBFqZZtIcHg+A6J4HqV9pvN1AmCsC+WdBFEdNCtIIpCJirvAQhYEAEaDDY2Mzg3ODg5NDcyMyIM6ujtSkPhFzLfhsW6KswBiBfBeZAaIBPgMuLAKbRym58xlbHoQfAygrxrit671nT+43YZNWpWd/sX/ZpHI56PgBsbc6g2ZfBRQ/FTk3oSjWbl9e/SAzPgPLhje6Cf4iEc8slLjwDs/j5EGymADRowQDJsVvKePy1zTMXUj1U1byb0X6J3eNEPvx24Njg4ugJ95KzpPGnqdLrp/z/BnSN3dMt77O2mAleniQyPpw/nVGn73D60HtBx3EJzvmvwthHcdA6wM/Gvdij0VcRC4qoN/8FaymyCwvwvMeAVMPu/j6EGOpgBK4sd1Ek++dSVSCWBeOX6F93SgnTZkjKWFkc6ki4QXP0IQm/+NvBGviMJQAyJ/yRU58tW9Q9ERhgHSfwZNSKQ3EWsPlaCitJqQV15l8VDtPEyNgl1exAzBSt2ZZBthUc3VHKN/UyhgUXtn8Efv5E8HP+fblbeX2ExlfC9KnQj6Ob5sP5ZHvEnDkwSCJ6wpFq3qiWR3n75Dp0=
次のコマンドを使用して、追加された認証情報を確認します。
より多くの .aws/資格情報
AWS CLI コマンドに「 マファ プロフィール:
aws s3 ls --プロファイル mfa上記のコマンドを正常に実行すると、MFA プロファイルが正常に追加されたことを示します。
これは、AWS CLI で MFA を使用することに関するすべてです。
結論
AWS CLI で MFA を使用するには、MFA を IAM ユーザーに割り当ててから、ターミナルで設定します。その後、インライン ポリシーをユーザーに追加して、そのプロファイルを介して特定のコマンドのみを使用できるようにします。それが完了したら、MFA 資格情報を取得し、AWS 資格情報ファイルでそれらを更新します。ここでも、MFA プロファイルで AWS CLI コマンドを使用して、AWS リソースを管理します。このガイドでは、AWS CLI で MFA を使用する方法について説明しました。