Wie zu verwenden MFA mit AWS CLI?

Wie kann ich in der MFA-code bei der Verwendung von AWS CLI? Ich habe die Dokumentation Seite der IAM -http://docs.aws.amazon.com/cli/latest/reference/iam/index.html.

Habe ich die MFA-Geräte bereits aktiviert, unter meinem Benutzernamen.

aws iam list-mfa-devices --user-name X

gibt

{
"MFADevices": [
    {
        "UserName": "X", 
        "SerialNumber": "arn:aws:iam::+++:mfa/X", 
        "EnableDate": "2016-01-13T23:15:43Z"
    }
]
}
InformationsquelleAutor Hello lad | 2016-01-14
  1. 6

    Call aws sts get-session-token --token-code <value> dokumentiert hier. Dies wird Ihnen eine vorübergehende Sicherheits-token. Dokumentation über die Verwendung der temporären Sicherheits-token finden hier.

    InformationsquelleAutor Mark B
  2. 35

    Der CLI verwalten können eine Menge für Sie, wenn Sie über Rollen. Hier beschrieben: http://docs.aws.amazon.com/cli/latest/userguide/cli-roles.html

    In meine credentials-Datei habe ich:

    [my_iam_user]
aws_access_key_id = AKIABLAHBLAHBLAHBLAH
aws_secret_access_key = <blah>
region = us-east-1

[my_admin_role]
role_arn = arn:aws:iam::123456789123:role/my_admin_role
source_profile = my_iam_user
mfa_serial = arn:aws:iam::123456789123:mfa/my_iam_user
region = us-east-1

    Hinweis: die mfa_serial Eintrag. Sie erhalten diesen Wert aus Ihrem Benutzer-details sind in der AWS IAM-Konsole. Dieser Eintrag sagt der CLI, die MFA ist erforderlich für diese Rolle.

    Wenn ich rufe aws s3 ls --profile my_admin_role es sagt Enter MFA code: habe ich nach dem einfügen in den code, es gibt die Liste.

    Hinweis: ich habe nicht gefunden, einen Weg, um die CLI zu Fragen, für MFA beim aufrufen eines Benutzerprofils (--profile my_iam_user) nur das aufrufen einer Rolle Profil löst die MFA-Antrag.

    Den MFA-token wird dann übernommen und der Benutzer-Profil können ebenfalls verwendet werden:

    aws sts get-caller-identity --profile my_iam_user
 # {
 # "Account": "123456789123",
 # "UserId": "AIDABLAHBLAHBLAHBLAH",
 # "Arn": "arn:aws:iam::123456789123:user/my_iam_user"
 # }

aws sts get-caller-identity --profile my_admin_role
 # {
 # "Account": "123456789123",
 # "UserId": "AROABLAHBLAHBLAHBLAH:AWS-CLI-session-1234567890",
 # "Arn": "arn:aws:sts::123456789123:assumed-role/my_admin_role/AWS-CLI-session-1234567890"
 # }
    • Diese Technik hat mich wirklich umgehauen. Es war so viel einfacher als der Umgang mit temporären Schlüsseln und Token direkt! Ich bin überrascht, dass dies nicht öfter erwähnt.
    • Wenn ich versuche zu erstellen, die eine Rolle für mich, es gibt keine guten Optionen. Wie hast du die Rolle?
    InformationsquelleAutor Joe Harris
  3. 4

    Habe ich veröffentlicht eine PR für die aws-Befehlszeilenschnittstelle, die es erlauben, zu verwenden mfa_serial in den Anmeldeinformationen, die Sie zwingen, zu geben Sie die token, bevor Anfrage an AWS - (und es wird zwischengespeichert werden, während der token gültig ist)

    Fühlen Sie sich frei, zu wählen, wenn Sie wollen, um es zu bekommen in.

    InformationsquelleAutor outcoldman
  4. 1

    AWS MFA verwenden Sie auf der Kommandozeile kann ziemlich unangenehm und umständlich, vor allem, wenn Sie mehrere profile haben und Rollen.

    Habe ich veröffentlicht awscli-mfa.sh Skript, das macht MFA/Rolle-session-management auf der Kommandozeile sehr viel einfacher. Ein Begleit-Skript enable-disable-vmfa-device.sh ähnlich macht es einfach zu aktivieren oder deaktivieren eines virtuellen MFA-Gerät auf ein IAM-Benutzerkonto.

    awscli-mfa.sh weiterhin besteht eine gestartete session in ~/.aws/credentials (mit einigen Infos in ~/.aws/config), oder Sie können eine env-Sitzung, so dass seine Angaben nicht erhalten blieb. Bei der Ausführung in Windows-Subsystem für Linux, das Skript bietet auch session-Aktivierung Saiten für PowerShell und der Windows-Kommandozeile. Jedoch, das Skript selbst läuft nur in der bash (geschrieben für macOS, Linux und WSL bash mit Ubuntu).

    Finden Sie die Skripte und am Beispiel MFA-Richtlinien in meinem GitHub-repo auf https://github.com/vwal/awscli-mfa

    • Ich wünschte, es gäbe so etwas für Windows.
    • Wenn Sie installieren Sie Windows-Subsystem für Linux (WSL), das Skript läuft auch gut drin. In der Tat, wenn Sie führen Sie es in der WSL, es bietet auch die MFA und die Rolle Sitzung Aktivierung Saiten für Windows-CMD-und PowerShell.
    InformationsquelleAutor Ville
  5. 1

    Auf Windows

    Ich bin unter windows und habe ich eine batch-Datei zu übergeben, in meinem MFA-code eingeben und automatisch meine Anmeldeinformationen. Erste, Sie brauchen, um Ihre Produktion Anmeldeinformationen bei AWS:

    aws configure --profile prod

    Beantworten Sie die Fragen entsprechend mit deinem key und secret. Dann führe ich mein Skript wie dieses:

    C:\> mfa-getCreds.bat 229168

Your credentials are set up, and will expire on 2019-05-12T04:04:13Z

Now you should be able to run aws commands like this: aws s3 ls

    Hier der Inhalt meiner mfa-getCreds.bat:

    @echo off

set TOKEN=%1
if not defined TOKEN goto showUsage   

@call aws sts get-session-token --profile prod --serial-number "arn:aws:iam::109627855994:mfa/ryan.shillington" --token-code %* > c:\temp\mfa-getCreds.json

FOR /F "tokens=* USEBACKQ" %%g IN (`jq -r ".Credentials.AccessKeyId" c:\temp\mfa-getCreds.json`) do (SET AWS_ACCESS_KEY=%%g)
FOR /F "tokens=*" %%g IN ('jq -r ".Credentials.SecretAccessKey" c:\temp\mfa-getCreds.json') do (SET "AWS_SECRET_KEY=%%g")
FOR /F "tokens=*" %%g IN ('jq -r ".Credentials.SessionToken" c:\temp\mfa-getCreds.json') do (SET "AWS_SESSION_TOKEN=%%g")
FOR /F "tokens=*" %%g IN ('jq -r ".Credentials.Expiration" c:\temp\mfa-getCreds.json') do (SET "EXPIRATION=%%g")

set AWS_ACCESS_KEY_ID=%AWS_ACCESS_KEY%
set "AWS_SECRET_ACCESS_KEY=%AWS_SECRET_KEY%"

echo.
echo Your credentials are set up, but will expire on %EXPIRATION%
echo.
echo Now you should be able to run aws commands like this: aws s3 ls

goto :EOF

:showUsage
echo Usage: %0 [MFA Token]
goto :EOF

    Für diese auszuführen, müssen Sie die ausgezeichnete jq Paket in Ihrem Pfad.

    • Danke Kumpel.. mich gerettet schaffen es 🙂
    InformationsquelleAutor Ryan Shillington
  6. 0

    Schrieb ich ein kleines bash-Skript, um über diese lästige problem.
    Sie können es hier finden: https://gist.github.com/geekgunda/db4c9c8d850c08a48d1d60f119628032

    Annahmen:

    1. Ihre original-AWS-Creds soll gespeichert werden unter ~/.aws/Anmeldeinformationen
    2. Sie haben korrigiert ARN für MFA-Gerät (suchen Sie nach FIXME)
    3. Die Sie gegeben haben richtig MFA-Code als cli-argument
    4. Sie haben jq installiert. Ref: https://stedolan.github.io/jq/
    InformationsquelleAutor geekgunda
  7. 0

    Mein use-case ist, ich habe einen root-account, wo alle IAM-Benutzer erstellt und zugewiesen IAM-Gruppen, die wiederum die Fähigkeit haben, zu übernehmen Rollen, die auf ein anderes Konto mit unterschiedlichem Zugang je nach der Gruppe, der Sie sind auf. Ich habe ein paar Hausregeln im Ort;

    1. Niemand erlaubt ist zu tun, alles auf den root-account mit Ausnahme der Verwaltung Ihrer eigenen IAM-Benutzer-Konto.
    2. Benötigte Passwort zurücksetzen.
    3. Erforderlich MFA.
    4. Sie können nicht zwischen Konten wechseln, ohne sich mit MFA.

    Diese wurde eingerichtet für die Nutzung von AWS Shared-Organisationen.

    Zuvor habe ich mit einem python-Skript, das ich schrieb, um mein Benutzer-login über cli mit der MFA und die Schalter-Konten. Dies erfolgt durch Bearbeiten der ~/.aws/Anmeldeinformationen.

    Ich habe seit migriert mit diesem Projekt https://gitlab.com/severity1/aws-auth, das ist geschrieben in Go und ermöglicht es mir, das gleiche zu tun, ohne viel setup und es funktioniert auf windows, macosx und linux.

    Dadurch können effektiv alle meine Benutzer die Möglichkeit, lokale Tests während der Entwicklung von Anwendungen für AWS-ohne hartcodieren AWS-Anmeldeinformationen in Ihrem code.

    InformationsquelleAutor unexpectedGuest
  8. 0

    Wir dokumentieren eine einige überlegungen für AWS-API-multifactor im Allgemeinen (wo, um die Bedingungen, was sind die Folgen etc.) in der Dokumentation für einige custom tooling (https://github.com/kreuzwerker/awsu) wir entwickelt für die Verwendung von Yubikeys als Quelle für die TOTP-Token. Dies macht das arbeiten mit Rollen und langfristige Anmeldeinformationen + Sitzungs-Token ziemlich einfach.

    InformationsquelleAutor yawn
  9. 0

    Habe ich Gabel-Chinmay die gist und aktualisiert es, ziehen Sie die Geräte-Seriennummern von aws statt hardcoding es. Ich habe auch aktualisiert die Ausgänge an status zurück 1 anstelle von nur beenden.

    Finden Sie hier:
    https://gist.github.com/jpribyl/e44021ae5cbf7fd1b4549598e85b5341

    Ich bin mit es in der deploy-Skripte wie dieses (habe ich umbenannt, das Skript zu awsMfaCli.sh):

    . awsMfaCli.sh
script_status=$?

if [[ $script_status -ne 1 ]]; then
    echo "Building production"
    if npm run build ; then
       echo "Build Successful"
    else
      echo "Error building, exiting.."
      return 1
    fi


    echo "Removing all files on bucket.."
    aws s3 rm --recursive s3://mybucket

    echo "Uploading site.."
    aws s3 sync build/s3://mybucket
    echo "S3 Upload complete.."
    echo "Deployment complete."
else
    return 1
fi
    InformationsquelleAutor kibble
  10. 0

    aws-mfa fungiert als wrapper um sts und funktioniert wirklich gut: https://github.com/broamski/aws-mfa

    InformationsquelleAutor Ryan Tuck
Schreibe einen Kommentar