Многофакторная аутентификация (MFA) используется для добавления еще одного уровня безопасности к учетным записям/удостоверениям IAM. AWS позволяет пользователям добавлять MFA в свои учетные записи, чтобы еще больше защитить свои ресурсы. Интерфейс командной строки AWS — это еще один метод управления ресурсами AWS, которые также можно защитить с помощью MFA.
В этом руководстве объясняется, как использовать MFA с интерфейсом командной строки AWS.
Как использовать MFA с интерфейсом командной строки AWS?
Посетите Управление идентификацией и доступом (IAM) из консоли AWS и нажмите « Пользователи ' страница:
Выберите профиль, нажав на его название:
Требуется, чтобы профиль был включен с MFA:
Зайдите в Терминал из вашей локальной системы и настроить интерфейс командной строки AWS:
демонстрация aws configure --profile 
Используйте команду AWS CLI для подтверждения конфигурации:
демонстрация aws s3 ls --profileВыполнение приведенной выше команды отобразило имя корзины S3, показывающее, что конфигурация правильная:
Вернитесь на страницу пользователей IAM и нажмите « Разрешения ' раздел:
В разделе разрешений разверните « Добавить разрешения » и нажмите на кнопку « Создать встроенную политику ' кнопка:
Вставьте следующий код в раздел JSON:
{«Версия»: «2012-10-17»,
'Заявление': [
{
«Sid»: «MustBeSignedInWithMFA»,
«Эффект»: «Запретить»,
'Не действие': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'уже:ListVirtualMFADevices',
'iam:EnableMFADevice',
'варенье:ResyncMFADevice',
'iam:ListAccountAliases',
'уже:Список пользователей',
'iam:СписокSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'уже:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Ресурс': '*',
'Состояние': {
'Булесли есть': {
'aws:MultiFactorAuthPresent': 'ложь'
}
}
}
]
}
Выберите вкладку JSON и вставьте приведенный выше код в редактор. Нажать на ' Правила пересмотра ' кнопка:
Введите имя политики:
Прокрутите страницу вниз и нажмите на кнопку « Создать политику ' кнопка:
Вернитесь к терминалу и снова проверьте команду AWS CLI:
демонстрация aws s3 ls --profileТеперь выполнение команды отображает « Доступ запрещен ' ошибка:
Скопируйте ARN из « Пользователи Аккаунт МИД:
Ниже приведен синтаксис команды для получения учетных данных для учетной записи MFA:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenИзменить ' arn-из-mfa-устройства ' с идентификатором, скопированным с панели управления AWS IAM, и измените ' код-из-токена ” с кодом из приложения MFA:
aws sts get-session-token --serial-number arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Скопируйте предоставленные учетные данные в любом редакторе, чтобы использовать их в файле учетных данных позже:
Используйте следующую команду для редактирования файла учетных данных AWS:
нано ~/.aws/учетные данные 
Добавьте следующий код в файл учетных данных:
[мфа]aws_access_key_id = ключ доступа
aws_secret_access_key = секретный ключ
aws_session_token = Токен сеанса
Измените AccessKey, SecretKey и SessionToken с помощью « AccessKeyId », « идентификатор секретного доступа ', и ' SessionToken ”, предоставленный на предыдущем шаге:
[мфа]aws_access_key_id = ключ доступа
aws_secret_access_key = т/секретный ключ
aws_session_token = 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
Проверьте добавленные учетные данные с помощью следующей команды:
больше .aws/credentials 
Используйте команду AWS CLI с параметром « МИД ” профиль:
aws s3 ls --профиль mfaУспешное выполнение приведенной выше команды свидетельствует о том, что профиль MFA был успешно добавлен:
Это все об использовании MFA с AWS CLI.
Заключение
Чтобы использовать MFA с интерфейсом командной строки AWS, назначьте MFA пользователю IAM, а затем настройте его на терминале. После этого добавьте встроенную политику для пользователя, чтобы он мог использовать только определенные команды через этот профиль. После этого получите учетные данные MFA, а затем обновите их в файле учетных данных AWS. Опять же, используйте команды CLI AWS с профилем MFA для управления ресурсами AWS. В этом руководстве объясняется, как использовать MFA с интерфейсом командной строки AWS.