Cómo usar MFA con AWS CLI

Cómo usar MFA con AWS CLI

La autenticación multifactor (MFA) se utiliza para agregar otra capa de seguridad a las cuentas/identidades de IAM. AWS permite a los usuarios agregar MFA a sus cuentas para proteger sus recursos aún más. AWS CLI es otro método para administrar los recursos de AWS que también se pueden proteger a través de MFA.

Esta guía explicará cómo usar MFA con AWS CLI.

Cómo usar MFA con AWS CLI?

Visite la gestión de identidad y acceso (IAM) desde la consola AWS y haga clic en el "Usuarios" página:

Seleccione el perfil haciendo clic en su nombre:

Se requiere tener un perfil habilitado con MFA:

Visite el terminal desde su sistema local y configure la AWS CLI:

AWS Configurar -Demo de perfil

Use el comando AWS CLI para confirmar la configuración:

AWS S3 LS -Demo de perfil

Ejecutar el comando anterior mostró el nombre del cubo S3 que muestra que la configuración es correcta:

Regrese a la página de usuarios de IAM y haga clic en "Permisos" sección:

En la sección de permisos, expanda el "Agregar permisosMenú "y haga clic en"Crear política en línea" botón:

Pegue el siguiente código en la sección JSON:


"Versión": "2012-10-17",
"Declaración": [

"Sid": "MustbesignedInwithMfa",
"Efecto": "Negue",
"Notaction": [
"iam: createVirtualMfadevice",
"iam: deletevirtualMfadevice",
"iam: listVirtualMfadeVices",
"IAM: EnableMFADEVICE",
"iam: resyncmfadevice",
"iam: listaccountaliases",
"iam: listones",
"iam: listsshpublicKeys",
"iam: listaccesskeys",
"IAM: ListServicesPecificCredentials",
"iam: listmfadevices",
"iam: getAccountSummary",
"STS: GetSessionToken"
],
"Recurso": "*",
"Condición":
"Boolifexists":
"AWS: Multifactorauthepresent": "Falso"



]

Seleccione la pestaña JSON y pegue el código anterior dentro del editor. Clickea en el "Política de revisión" botón:

Escriba el nombre de la política:

Desplácese hacia abajo hasta la parte inferior de la página y haga clic en el "Crear política" botón:

Regrese a la terminal y verifique nuevamente el comando AWS CLI:

AWS S3 LS -Demo de perfil

Ahora la ejecución del comando muestra el "Acceso denegado" error:

Copie el ARN del "Usuarios"Cuenta MFA:

La siguiente es la sintaxis del comando para obtener las credenciales para la cuenta MFA:

AWS STS get-session-token--serial-number arn-of-the-mfa-dispositivo -code-código-código-de-token

Cambiar el "ARN-of-the-mfa-dispositivo"Con el identificador copiado del tablero de AWS IAM y cambiar"código-de-token"Con el código de la aplicación MFA:

AWS STS Get-Session-Token--Serial-Number ARN: AWS: iam :: ******* 94723: MFA/Authenticator-Código de tourking 265291

Copie las credenciales proporcionadas en cualquier editor que se utilizará en el archivo de credenciales más adelante:

Use el siguiente comando para editar el archivo de credenciales de AWS:

nano ~/.AWS/Credenciales

Agregue el siguiente código al archivo de credenciales:

[MFA]
AWS_ACCESS_KEY_ID = AccessKey
AWS_SECRET_ACCESS_KEY = SecretKey
aws_session_token = sessionToken

Cambie el AccessKey, SecretKey y SessionToken con el "AccessKeyid","Secreto", y "SessionToken"Proporcionado en el paso anterior:

[MFA]
AWS_ACCESS_KEY_ID = AccessKey
AWS_SECRET_ACCESS_KEY = T/SecretKey
aws_session_token = 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

Verifique las credenciales agregadas usando el siguiente comando:

más .AWS/Credenciales

Use el comando AWS CLI con el "MFA" perfil:

AWS S3 LS --Profile MFA

Ejecutar con éxito el comando anterior sugiere que el perfil MFA se ha agregado con éxito:

Se trata de usar MFA con AWS CLI.

Conclusión

Para usar MFA con AWS CLI, asigne MFA al usuario de IAM y luego configúrelo en el terminal. Después de eso, agregue una política en línea al usuario para que solo pueda usar ciertos comandos a través de ese perfil. Una vez hecho esto, obtenga credenciales de MFA y luego actualice en el archivo de credenciales de AWS. Nuevamente, use los comandos AWS CLI con un perfil MFA para administrar los recursos de AWS. Esta guía ha explicado cómo usar MFA con AWS CLI.