Multi-Factor Authentication (MFA) digunakan untuk menambahkan lapisan keamanan lain ke akun/identitas IAM. AWS memungkinkan pengguna menambahkan MFA ke akun mereka untuk lebih melindungi sumber daya mereka. AWS CLI adalah metode lain untuk mengelola sumber daya AWS yang juga dapat dilindungi melalui MFA.
Panduan ini akan menjelaskan cara menggunakan MFA dengan AWS CLI.
Bagaimana Cara Menggunakan MFA dengan AWS CLI?
Kunjungi Identity and Access Management (IAM) dari konsol AWS dan klik “ Pengguna ' halaman:
Pilih profil dengan mengklik namanya:
Profil harus diaktifkan dengan MFA:
Kunjungi Terminal dari sistem lokal Anda dan mengkonfigurasi CLI AWS:
aws configure --profile demo
Gunakan perintah AWS CLI untuk mengonfirmasi konfigurasi:
aws s3 ls --profil demoMenjalankan perintah di atas menampilkan nama bucket S3 yang menunjukkan bahwa konfigurasi sudah benar:
Kembali ke halaman Pengguna IAM dan klik “ Izin ' bagian:
Di bagian izin, perluas “ Tambahkan izin ” menu dan klik pada “ Buat kebijakan sebaris ' tombol:
Rekatkan kode berikut di bagian JSON:
{'Versi': '17-10-2012',
'Penyataan': [
{
'Sid': 'MustBeSignedInWithMFA',
'Efek': 'Tolak',
'TidakAksi': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'sudah:ListVirtualMFADevices',
'iam:AktifkanMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'sudah: PenggunaDaftar',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'sudah:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Sumber Daya': '*',
'Kondisi': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'salah'
}
}
}
]
}
Pilih tab JSON dan rekatkan kode di atas di dalam editor. Klik pada ' Tinjau kebijakan ' tombol:
Ketik nama kebijakan:
Gulir ke bawah ke bagian bawah halaman dan klik “ Buat kebijakan ' tombol:
Kembali ke terminal dan periksa lagi perintah AWS CLI:
aws s3 ls --profil demoSekarang eksekusi perintah menampilkan ' Akses ditolak ” kesalahan:
Salin ARN dari “ Pengguna ” Akun MFA:
Berikut ini adalah sintaks perintah untuk mendapatkan kredensial untuk akun MFA:
aws sts get-session-token --nomor seri arn-of-the-mfa-device --token-code kode-dari-tokenMengubah ' arn-of-the-mfa-device ” dengan Pengenal yang disalin dari dasbor AWS IAM dan ubah “ kode-dari-token ” dengan kode dari aplikasi MFA:
aws sts get-session-token --nomor seri arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Salin kredensial yang diberikan pada editor mana pun untuk digunakan dalam file kredensial nanti:
Gunakan perintah berikut untuk mengedit file Kredensial AWS:
nano ~/.aws/kredensial
Tambahkan kode berikut ke file kredensial:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = Kunci Rahasia
aws_session_token = SesiToken
Ubah AccessKey, SecretKey, dan SessionToken dengan “ AccessKeyId ”, “ SecretAccessId ', Dan ' SesiToken ” disediakan di langkah sebelumnya:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Periksa kredensial yang ditambahkan menggunakan perintah berikut:
lebih banyak .aws/kredensial
Gunakan perintah AWS CLI dengan “ mfa ' Profil:
aws s3 ls --profil mfaBerhasil menjalankan perintah di atas menunjukkan bahwa profil MFA telah berhasil ditambahkan:
Ini semua tentang menggunakan MFA dengan AWS CLI.
Kesimpulan
Untuk menggunakan MFA dengan AWS CLI, tetapkan MFA ke pengguna IAM lalu konfigurasikan di terminal. Setelah itu, tambahkan kebijakan inline ke pengguna sehingga hanya dapat menggunakan perintah tertentu melalui profil tersebut. Setelah selesai, dapatkan kredensial MFA lalu perbarui pada file kredensial AWS. Sekali lagi, gunakan perintah AWS CLI dengan profil MFA untuk mengelola sumber daya AWS. Panduan ini telah menjelaskan cara menggunakan MFA dengan AWS CLI.