如何给AWS CLI启用MFA

最新推荐文章于 2023-12-20 11:45:55 发布
最新推荐文章于 2023-12-20 11:45:55 发布
阅读量857 收藏
点赞数 1
分类专栏: AWS 文章标签: aws
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40851534/article/details/119250704
版权

因为AWS CLI不存在控制台直接打开MFA功能,然后生活中遇见了,那么就记录一下吧

给IAM用户开启MFA

首先需要在IAM用户-安全证书,点击开启MFA
在这里插入图片描述

这里选择虚拟MFA应用程序,需要在手机上安装相应的软件。这里我选择了Authenticator,其他的可以去AWS文档查看。
打开软件,选择添加账户,选择其他账号,扫描二维码,然后就可以将虚拟MFA应用程序和该用户绑定了。然后输入软件中两个连续的认证代码即可激活该MFA功能。
在这里插入图片描述

这时候打开一个无痕浏览器验证一下,进入登陆页面
在这里插入图片描述

可以发现出现了MFA代码输入框,只有输入提交MFA代码,才能够正常登录。
在这里插入图片描述

做到这里,已经成功实现了MFA控制aws控制台登录的功能。

AWS CLI开启MFA

回到IAM的用户界面,选择权限,点击添加权限。
在这里插入图片描述

选择直接附加现有策略下的创建策略
在这里插入图片描述

将相关的策略填入json下即可
在这里插入图片描述

其中arn:aws:iam::需要替换成符合中国区规范的arn地址 arn:aws-cn:iam::

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": "iam:ListVirtualMFADevices",
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}
            }
        }
    ]
}

或者也可以通过可视化编辑器编辑策略。然后将创建好的策略附加给用户即可。
在这里插入图片描述

这时候登录到安装了AWS CLI以及配置好AWS configure的服务器上,这时候使用aws s3 ls命令会发现是没有权限来列出S3中的内容的。
在这里插入图片描述

运行下方命令来获取临时凭证,然后export导入即可

aws sts get-session-token --serial-number 用户ARN --token-code MFA码

export AWS_ACCESS_KEY_ID=333
export AWS_SECRET_ACCESS_KEY=222
export AWS_SESSION_TOKEN=111

在这里插入图片描述

这时候再aws s3 ls即可获取到相应的桶列表了
在这里插入图片描述

如果想取消凭证可以unset配置,想要重新配置凭证,也需要unset配置

unset AWS_ACCESS_KEY_ID
unset AWS_SECRET_ACCESS_KEY
unset AWS_SESSION_TOKEN

在这里插入图片描述

GitHub @ndmiao  · 
BiliBili @南岛鹋  · 
知乎 @南岛鹋  · 
CSDN @南岛鹋  · 
博客园 @南岛鹋  · 
个人站点 @南岛鹋

打赏

支付宝微信
NDMIAO
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
aws-cli-mfa-powershell:适用于AWS CLI多因素身份验证(MFA)的PowerShell脚本
02-12
aws-cli-mfa-powershell 适用于AWS CLI多因素身份验证(MFA)的PowerShell脚本 来自AWS Cli的登录MFA用户 打开aws-mfa.ps1 添加您的MFA设备ARM 保存文件。 在管理员模式下打开Powershell 打开适用于AWS的Auth App并获取MFA令牌 运行。\ aws-mfa.ps1 {token}(例如:。\ aws-mfa.ps1 120345) 如果成功,它将显示令牌过期。 关闭Powershell并重新打开以使用AWS Cli。****关闭控制台很重要。.因为我们正在设置环境,所以需要刷新。 如果您有更好的方法,请告诉我。 如果出现错误,请使用aws-clean-env.ps1。 清洁AWS环境变量 令牌过期后,但旧令牌仍在您的AWS环境变量中,因此,当您尝试运行AWS Cli或尝试再次辞职时,将收到“过期令
AWS 账户MFA启用流程
weixin_34404393的博客
02-02 2804
登陆AWS IAM服务,找到要启用MFA 多重身份验证的IAM用户。 选择“安全证书” 在下方找到“已分配MFA设备” “管理”下一步参考 [https://amazonaws-china.com/cn/iam/details/mfa/ AWS MFA 身份验证指南]在手机上安装Google 身份验证器 用移动设备扫描二维码(或手动输入下方密钥)之后将移动设备上生成的两个连续验证码输入下方“...
适用于临时MFA凭证的AWS CLI Automation
weixin_26636643的博客
09-19 400
Multi-Factor Authentication (MFA), is the panacea to the security dichotomy where password authentication is a single point of failure. 多重身份验证(MFA)是安全二分法的灵丹妙药,其中密码身份验证是单点故障。 So, where could it go wro...
AWS-MFA丢失解决方案
nihaixiao的博客
09-06 1174
因为绑定MFA的authenticator的时候,是通过扫码添加的,即MFA与你的手机绑定了,所以一旦换了手机或者刷机就会导致MFA丢失,也就是登录不上自己的AWS账户, 我的根用户以及IMA账户都绑定了authenticator,所以换手机之后就都登不进去了… 因为绑定了信用卡,收到了大概11美元的账单的时候,还是有点紧张的…还好查到了解决方案 1.登录账户之后在输入MFA代码的这步,点击下面的对MFA进行故障排除 2.选择使用代替因素登录 3.发送验证电子邮件,会接到一封邮件,点开邮件里面的link
AWS SMB最佳实践】如何开启和关闭根用户的Amazon MFA及设备丢失处理流程
最新发布
宝耶需努力的技术分享博客
12-20 1285
本实验是为了验证根用户的MFA设备如何开启和关闭,以及丢失或遗忘MFA设备时,处理流程和应急措施。
awscli-bundle.zip
06-30
"awscli-bundle.zip" 文件包含了在Mac操作系统上运行AWS CLI所需的全部组件。 首先,安装AWS CLI通常涉及以下几个步骤: 1. 下载:用户需要下载"awscli-bundle.zip"这个压缩包,然后解压到本地。 2. 安装Python:...
awscli:带有AWS CLI的最小Docker容器
02-16
alias aws='docker run --rm -v ${PWD}:/work -e AWS_DEFAULT_REGION -e AWS_ACCESS_KEY_ID -e AWS_SECRET_ACCESS_KEY -e AWS_SESSION_TOKEN tristanmorgan/awscli' 并使自动完成功能也可以工作: complete -C '...
aws-session:具有MFA支持的AWS CLI的交互式Shell会话
05-16
在受支持的shell( bash , zsh )中,它还增强了shell提示以显示临时证书的剩余寿命,并使用shell函数重载aws命令,该shell函数将在必要时首先刷新证书,然后再委派给实际的AWS CLI。 还可以通过外壳函数aws-...
dockerfile-awscli-all:安装了所有awscli的Dockerfile
04-08
sue445 / awscli-all 安装了所有awscli(v1)的Dockerfile 已安装的套件 awscli aws-sam-cli ecs-cli 建造 docker build --rm -t awscli-all . 跑步 docker run -it --rm sue445/awscli-all bash 使用aws-cli ...
通过多因子认证(MFA)和IAM服务加强亚马逊云科技账户安全
亚马逊云科技专栏
03-25 7023
当用户在亚马逊云科技上注册一个全球服务账户之后,注册的邮件地址就是用户在亚马逊云科技的主账户名。用户可以通过它和注册时设置的密码登陆亚马逊云科技管理控制台。由于亚马逊云科技云平台上有用户的应用和数据,因此如何加强亚马逊云科技账户的安全变得非常重要。下面介绍一些用于加强亚马逊云科技户安全的常见方法。
aws-mfa:管理AWS MFA安全证书
02-01
aws-mfa:使用多因素身份验证(MFA)时轻松管理您的AWS安全凭证 在AWS账户上实施多重身份验证(MFA)时,使用aws-mfa可以轻松管理您的AWS开发工具包SDK安全凭证。 它自动执行从获取临时凭证并更新您的文件(位于~/.aws/credentials )的过程。 传统的管理基于MFA的凭据的方法要求用户编写自己的定制脚本/包装程序,以从STS获取临时凭据,并经常手动更新其AWS凭据文件。 aws-mfa背后的概念是有两种凭证类型: long-term -您的典型AWS访问密钥,由AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY short-term -AWS STS使用您long-term凭证,MFA设备序列号(硬件设备序列号或虚拟设备ARN)和一次性令牌代码生成的一组临时凭证。 您的短期凭证是所使用的AWS开发工具包正在积极利用的凭证。 如果您尚未为AWS API访问启用多重身份验证,请查看有关此内容的。 安装: 选项1 $ pip install aws-mfa 选项2 1. Clone this repo 2. $ p
如何为您的AWS账户设置多因素身份验证(MFA
最佳 Java 编程
06-12 989
步骤1 : 转到AWS控制台并使用您的用户名密码登录。 第2步 : 转到服务-> IAM 第三步: 单击您的根帐户上的激活MFA 第四步 : 在步骤3中,点击屏幕上的管理MFA按钮。 步骤5: 单击分配MFA设备。选择虚拟MFA设备。 步骤6: 单击继续。 步骤7: 在手机上的Play商店中安装Google Authentica...
AWS实战 - 利用IAM对S3做访问控制
weixin_33827965的博客
12-05 1996
介绍 要对S3的访问权限做控制,既可以使用基于身份的策略(IAM用户策略),也可以使用基于资源的策略(ACL和存储桶策略)。 访问一个存储桶的权限控制流程如图所示: 访问存储桶中的对象的权限控制流程如图所示: 当 Amazon S3 收到对象操作请求时,它会将基于资源的所有相关权限(对象访问控制列表 (ACL)、存储桶策略、存储桶 ACL...
[AWS]根账户激活MFA多因子认证配置
深入一点你会更加快乐
03-07 2198
1、登录IAM控制台 https://console.aws.amazon.com 2、点击MFA管理 3、选择 “虚拟MFA设备” 4、下一步 5、下载MFA应用程序 https://amazonaws-china.com/cn/iam/details/mfa/ 6、下载好软件进行扫码识别就行 ...
01 ,aws mfa 认证 :
孙砚秋的博客
02-11 512
1 ,目的 : 多重验证 每次登录都需要 : 手机验证 2 ,操作步骤 : 电脑操作 : 手机下载 authy
aws 赋予用户 MFA 开通的权限
shenghuiping2001的专栏
04-01 507
今天碰到用户要求自己可以开通 MFA的权限,操作方式是:先创建policy: 在把这个policy 赋予这个user: 1: 先创建policy: { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowViewAccountInfo", "Effect": "Allow", "Action": "iam:ListVirtualMFADevic...
AWS Account
我的学习成长日记
05-08 4521
AWS - Amazon Web Service。AWS是通过web service的方式提供服务的:用户使用浏览器,发送Http请求到AWS。 http://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html Every AWS account has 2 ID: 1, An AWS account ID -12-digi...
aws mfa 认证_为受MFA保护的联合身份设置程序化AWS访问
weixin_26722031的博客
08-31 971
aws mfa 认证I am currently working on improving the security of cloud operations for one of my clients and wanted to share an interesting solution I developed to help provide programmatic access to AWS ...
如何使用aws cli
06-10
AWS CLI (Command Line Interface) 是一种用于管理 AWS 服务的命令行工具,您可以在本地计算机上使用它来执行 AWS 服务的各种操作。以下是使用 AWS CLI 的基本步骤: 1. 安装 AWS CLI。您可以从 AWS CLI 官方网站下载安装程序,或者在 Linux 和 MacOS 上使用包管理器进行安装。安装完成后,打开终端窗口并输入“aws --version”来验证安装是否成功。 2. 配置 AWS CLI。为了使用 AWS CLI,您需要将其配置为使用您的 AWS 账户。运行“aws configure”命令并按照提示输入您的 AWS 访问密钥 ID、AWS 秘密访问密钥、默认区域和输出格式。 3. 运行 AWS CLI 命令。一旦您已将 AWS CLI 配置为使用您的 AWS 账户,您就可以运行各种 AWS CLI 命令。例如,如果您想列出您的 Amazon S3 存储桶,请运行以下命令: ``` aws s3 ls ``` 4. 学习 AWS CLI 命令。AWS CLI 提供了大量的命令,用于管理各种 AWS 服务。您可以使用“aws help”命令获取有关命令的详细信息,或者查看 AWS CLI 文档以了解更多信息。 总之,AWS CLI 提供了一种轻松管理 AWS 服务的方法,并且可以使用脚本和自动化工具轻松扩展和自定义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

NDMIAO

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值