L'authentification multifacteur (MFA) est utilisée pour ajouter une autre couche de sécurité aux comptes/identités IAM. AWS permet aux utilisateurs d'ajouter MFA à leurs comptes pour protéger encore plus leurs ressources. AWS CLI est une autre méthode pour gérer les ressources AWS qui peuvent également être protégées via MFA.
Ce guide explique comment utiliser MFA avec AWS CLI.
Comment utiliser MFA avec AWS CLI ?
Visitez la gestion des identités et des accès (IAM) à partir de la console AWS et cliquez sur le ' Utilisateurs ” pages :
Sélectionnez le profil en cliquant sur son nom :
Il est nécessaire d'avoir un profil activé avec MFA :
Visitez le Terminal depuis votre système local et configurer l'AWS CLI :
aws configure --profile démo 
Utilisez la commande AWS CLI pour confirmer la configuration :
aws s3 ls --démo de profilL'exécution de la commande ci-dessus a affiché le nom du compartiment S3 indiquant que la configuration est correcte :
Revenez à la page Utilisateurs IAM et cliquez sur ' Autorisations ' section:
Dans la section des autorisations, développez le ' Ajouter des autorisations » et cliquez sur le « Créer une politique en ligne ' bouton:
Collez le code suivant dans la section JSON :
{'Version': '2012-10-17',
'Déclaration': [
{
'Sid': 'MustBeSignedInWithMFA',
'Effet': 'Refuser',
'Pas d'action': [
'iam:CreateVirtualMFADevice',
'iam:SupprimerVirtualMFADevice',
'déjà :ListeVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'déjà:ListeUtilisateurs',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'déjà:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Ressource': '*',
'Condition': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'faux'
}
}
}
]
}
Sélectionnez l'onglet JSON et collez le code ci-dessus dans l'éditeur. Clique sur le ' Politique de révision ' bouton:
Saisissez le nom de la stratégie :
Faites défiler vers le bas de la page et cliquez sur le ' Créer une politique ' bouton:
Retournez au terminal et vérifiez à nouveau la commande AWS CLI :
aws s3 ls --démo de profilMaintenant, l'exécution de la commande affiche le ' Accès refusé ' erreur:
Copiez l'ARN à partir du ' Utilisateurs ” Compte MFA :
Voici la syntaxe de la commande pour obtenir les informations d'identification du compte MFA :
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenChanger la ' arn-du-dispositif-MFA ' avec l'identifiant copié à partir du tableau de bord AWS IAM et changez ' code-de-jeton ” avec le code de l'application MFA :
aws sts get-session-token --serial-number arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Copiez les informations d'identification fournies sur n'importe quel éditeur à utiliser ultérieurement dans le fichier d'informations d'identification :
Utilisez la commande suivante pour modifier le fichier AWS Credentials :
nano ~/.aws/informations d'identification 
Ajoutez le code suivant au fichier d'informations d'identification :
[mfa]aws_access_key_id = Clé d'accès
aws_secret_access_key=Clé secrète
aws_session_token=SessionToken
Modifiez AccessKey, SecretKey et SessionToken avec le ' ID de clé d'accès ”, “ ID d'accès secret ', et ' Jeton de session ” fourni à l'étape précédente :
[mfa]aws_access_key_id = Clé d'accès
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Vérifiez les identifiants ajoutés à l'aide de la commande suivante :
plus de .aws/informations d'identification 
Utilisez la commande AWS CLI avec le « mfa ' profil:
aws s3 ls --profil mfaL'exécution réussie de la commande ci-dessus suggère que le profil MFA a été ajouté avec succès :
Il s'agit d'utiliser MFA avec AWS CLI.
Conclusion
Pour utiliser MFA avec AWS CLI, attribuez MFA à l'utilisateur IAM, puis configurez-le sur le terminal. Après cela, ajoutez une stratégie en ligne à l'utilisateur afin qu'il ne puisse utiliser que certaines commandes via ce profil. Une fois cela fait, obtenez les informations d'identification MFA, puis mettez-les à jour dans le fichier d'informations d'identification AWS. Encore une fois, utilisez les commandes AWS CLI avec un profil MFA pour gérer les ressources AWS. Ce guide a expliqué comment utiliser MFA avec AWS CLI.