Večfaktorska avtentikacija (MFA) se uporablja za dodajanje še enega varnostnega sloja računom/identitetam IAM. AWS omogoča uporabnikom, da svojim računom dodajo MFA, da še bolj zaščitijo svoje vire. AWS CLI je še ena metoda za upravljanje virov AWS, ki jih je mogoče zaščititi tudi prek MFA.
V tem priročniku je razloženo, kako uporabljati MFA z AWS CLI.
Kako uporabljati MFA z AWS CLI?
Obiščite Identity and Access Management (IAM) s konzole AWS in kliknite » Uporabniki ” stran:
Izberite profil s klikom na njegovo ime:
Profil mora biti omogočen z MFA:
Obiščite terminal iz vašega lokalnega sistema in konfigurirati AWS CLI:
aws configure --profile demo 
Za potrditev konfiguracije uporabite ukaz AWS CLI:
aws s3 ls --predstavitev profilaZagon zgornjega ukaza je prikazal ime vedra S3, ki kaže, da je konfiguracija pravilna:
Vrnite se na stran uporabnikov IAM in kliknite » Dovoljenja ” razdelek:
V razdelku z dovoljenji razširite » Dodajte dovoljenja ' in kliknite na ' Ustvari vgrajeno politiko ” gumb:
Prilepite to kodo v razdelek JSON:
{'Različica': '2012-10-17',
'Izjava': [
{
'Sid': 'MustBeSignedInWithMFA',
'Effect': 'Zavrni',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'že: ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'že:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'že: ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Vir': '*',
'Pogoj': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Izberite zavihek JSON in prilepite zgornjo kodo v urejevalnik. Kliknite na ' Politika pregledovanja ” gumb:
Vnesite ime pravilnika:
Pomaknite se navzdol na dno strani in kliknite » Ustvari pravilnik ” gumb:
Vrnite se do terminala in znova preverite ukaz AWS CLI:
aws s3 ls --predstavitev profilaZdaj izvajanje ukaza prikaže ' Dostop zavrnjen ” napaka:
Kopirajte ARN iz ' Uporabniki ” MZZ račun:
Sledi sintaksa ukaza za pridobitev poverilnic za račun MFA:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenSpremenite ' arn-of-the-mfa-naprava ' z identifikatorjem, kopiranim z nadzorne plošče AWS IAM, in spremenite ' koda-iz-žetona ” s kodo iz aplikacije MZZ:
aws sts get-session-token --serijska-številka arn:aws:iam::********94723:mfa/Authenticator --token-code 265291Kopirajte predložene poverilnice v kateri koli urejevalnik, da jih boste pozneje uporabili v datoteki poverilnic:
Za urejanje datoteke AWS Credentials uporabite naslednji ukaz:
nano ~/.aws/credentials 
V datoteko s poverilnicami dodajte to kodo:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = Skrivni ključ
aws_session_token = SessionToken
Spremenite AccessKey, SecretKey in SessionToken z ' AccessKeyId ”, “ SecretAccessId «, in » SessionToken «, naveden v prejšnjem koraku:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Preverite dodane poverilnice z naslednjim ukazom:
več .aws/credentials 
Uporabite ukaz AWS CLI z ' mzz ” profil:
aws s3 ls --profil mfaUspešno izvajanje zgornjega ukaza pomeni, da je bil profil MFA uspešno dodan:
Tu gre za uporabo MFA z AWS CLI.
Zaključek
Če želite uporabiti MFA z AWS CLI, dodelite MFA uporabniku IAM in ga nato konfigurirajte na terminalu. Po tem uporabniku dodajte vgrajeno politiko, tako da lahko prek tega profila uporablja le določene ukaze. Ko je to opravljeno, pridobite poverilnice MFA in jih nato posodobite v datoteki poverilnic AWS. Spet uporabite ukaze AWS CLI s profilom MFA za upravljanje virov AWS. V tem priročniku je razloženo, kako uporabljati MFA z AWS CLI.