Toolkit for Visual Studio 中的多重身份验证(MFA) - Amazon 适用于 Visual Studio 的工具包
步骤 1:创建 IAM 角色,以向 IAM 用户委派访问权限步骤 2:创建代入角色权限的 IAM 用户步骤 3:添加允许 IAM 用户代入角色的策略步骤 4:为 IAM 用户管理虚拟 MFA 设备步骤 5:创建配置文件以允许 MFA
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Toolkit for Visual Studio 中的多重身份验证(MFA)

多重身份验证 (MFA) 为您的账户提供了额外的安全保障。 Amazon MFA 要求用户在访问网站或服务时提供登录凭证和来自支持的 Amazon MFA 机制的唯一身份验证。 Amazon

Amazon 支持一系列虚拟设备和硬件设备进行 MFA 身份验证。以下是通过智能手机应用程序启用的虚拟 MFA 设备示例。要了解有关 MFA 设备选项的更多信息,请参阅《IAM 用户指南》中的在 Amazon中使用多重身份验证(MFA)

步骤 1:创建 IAM 角色,以向 IAM 用户委派访问权限

以下过程介绍如何设置向 IAM 用户分配权限的角色委派。有关角色委派的详细信息,请参阅《Amazon Identity and Access Management 用户指南》中的创建向 IAM 用户委派权限的角色主题。

  1. 转到 IAM 控制台,地址:https://console.aws.amazon.com/iam

  2. 在导航栏中选择角色,然后选择创建角色

  3. 创建角色页面中,选择另一个 Amazon 账户

  4. 输入所需的账户 ID 并选中需要 MFA 复选框。

    注意

    要查找您的 12 位账号(ID),请在控制台顶部的导航栏上,选择支持,然后选择支持中心

  5. 选择下一步:权限

  6. 将现有策略附加到角色或为其创建新策略。您在此页面上选择的策略决定了 IAM 用户可以通过 Toolkit 访问哪些 Amazon 服务。

  7. 附加策略后,选择下一步:标签,设置向角色添加 IAM 标签的选项。然后,选择下一步:审核以继续。

  8. 审核页面中,输入所需的角色名称(例如 toolkit-role)。您也可以添加可选的角色描述

  9. 选择 创建角色

  10. 当显示确认消息(例如“角色 toolkit-role 已创建”)时,请在消息中选择该角色的名称。

  11. 摘要页面中,选择复制图标以复制角色 ARN 并将其粘贴到一个文件中。(在配置代入角色的 IAM 用户时,您需要此 ARN。)

步骤 2:创建代入角色权限的 IAM 用户

此步骤将创建一个没有权限的 IAM 用户,以便可以添加内联策略。

  1. 转到 IAM 控制台,地址:https://console.aws.amazon.com/iam

  2. 在导航栏中,选择用户,然后选择添加用户

  3. 添加用户页面中,输入所需的用户名(例如 toolkit-user),然后选中编程访问复选框。

  4. 选择下一步:权限下一步:标签下一步:审核,进行翻页。您不必在此阶段添加权限,因为用户将代入通过角色委派的权限。

  5. 审核页面中,您会被告知此用户没有权限。选择 创建用户

  6. 成功页面中,选择下载.csv 以下载包含访问密钥 ID 和秘密访问密钥的文件。(在凭证文件中定义用户的配置文件时,您将需要这两个信息。)

  7. 选择关闭

步骤 3:添加允许 IAM 用户代入角色的策略

以下过程将创建一个内联策略,允许用户代入角色(以及该角色的权限)。

  1. 在 IAM 控制台的用户页面中,选择您刚刚创建的 IAM 用户(例如 toolkit-user)。

  2. 摘要页面的权限选项卡上,选择添加内联策略

  3. 创建策略页面中,选择选择服务,在查找服务中输入 STS,然后从结果中选择 STS

  4. “操作” 中,开始输入术语AssumeRole。当AssumeRole复选框出现时,将其选中。

  5. 资源部分,确保选中特定,然后单击添加 ARN 以限制访问。

  6. 对于添加 ARN 对话框中的为角色指定 ARN,添加您在步骤 1 中创建的角色的 ARN。

    添加该角色的 ARN 后,与该角色关联的可信账户和角色名称将显示在账户带路径的角色名称中。

  7. 选择 添加

  8. 返回创建策略页面,选择指定请求条件(可选),选中需要 MFA 复选框,然后选择关闭进行确认。

  9. 选择查看策略

  10. 查看策略页面中,为策略输入名称,然后选择创建策略

    权限选项卡中将显示直接附加到 IAM 用户的新内联策略。

步骤 4:为 IAM 用户管理虚拟 MFA 设备

  1. 将虚拟 MFA 应用程序下载并安装到智能手机。

    有关支持的应用程序列表,请参阅多重身份验证资源页面。

  2. 在 IAM 控制台中,从导航栏中选择用户,然后选择代入角色的用户(在本例中为 toolkit-user)。

  3. 摘要页面中,选择安全凭证选项卡,然后为已分配的 MFA 设备选择管理

  4. 管理 MFA 设备窗格中,选择虚拟 MFA 设备,然后选择继续

  5. 设置虚拟 MFA 设备窗格中,选择显示 QR 码,然后使用安装在智能手机上的虚拟 MFA 应用程序扫描二维码。

  6. 扫描二维码后,虚拟 MFA 应用程序会生成一次性 MFA 代码。在 MFA 代码 1MFA 代码 2 中连续输入两个 MFA 代码。

  7. 选择 Assign MFA (分配 MFA)

  8. 返回用户的安全凭证选项卡,复制新分配的 MFA 设备的 ARN。

    ARN 包含您的 12 位账户 ID,其格式类似于以下内容:arn:aws:iam::123456789012:mfa/toolkit-user。在下个步骤中定义 MFA 配置文件时,您需要用到此 ARN。

步骤 5:创建配置文件以允许 MFA

以下过程创建了在 Visual Studio 的 Toolkit for Visual Studi Amazon o 中访问服务时允许 MFA 的配置文件。

您创建的配置文件包括您在前面的步骤中复制和存储的三条信息:

  • IAM 用户的访问密钥(访问密钥 ID 和秘密访问密钥)

  • 向 IAM 用户委派权限的角色的 ARN

  • 分配给 IAM 用户的虚拟 MFA 设备的 ARN

在包含您的 Amazon 凭据的 Amazon 共享凭证文件或 SDK Store 中,添加以下条目:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

提供的示例中定义了两个配置文件:

  • [toolkit-user] 配置文件包含您在步骤 2 中创建 IAM 用户时生成和保存的访问密钥和秘密访问密钥。

  • [mfa] 配置文件定义了如何支持多因素身份验证。该配置文件有三个条目:

    source_profile:指定配置文件,将使用其凭证代入此配置文件中的 role_arn 设置所指定的角色。在本例中,该条目为 toolkit-user 配置文件。

    role_arn:指定 IAM 角色的 Amazon 资源名称(ARN),您将通过此角色执行使用此配置文件请求的操作。在本例中,该条目您在步骤 1 中创建的角色的 ARN。

    mfa_serial:指定用户在代入角色时必须使用的 MFA 设备的标识或序列号。在本例中,该条目是您在步骤 3 中设置的虚拟设备的 ARN。