本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Toolkit MFA or Visual Studit 中使用多重身份验证
多因素身份验证 (MFA) 提供了更高的安全性,因为它要求用户在访问Amazon网站或服务时除了提供常规登录凭证外,还需要通过Amazon支持的 MFA 机制提供唯一的身份验证。
Amazon支持一系列用于 MFA 身份验证的虚拟和硬件设备。此处记录的示例是由智能手机应用程序启用的虚拟 MFA 设备。有关 MFA 设备选项的更多信息,请参阅 IAM 用户指南Amazon中的使用多重身份验证 (MFA)。
步骤 1:创建 IAM 角色以向 IAM 用户委派访问权限
此任务使用角色委派来允许 IAM 向 IAM 用户委派权限。首先,您定义一个需要使用 MFA 登录的 IAM 角色。您还可以向该角色附加授予访问特定Amazon服务的权限。接下来,您将创建一个一开始没有权限的 IAM 用户。但是,您随后将包含AssumeRole
操作的策略附加到该用户,该策略将该角色的所有权限委托给该用户。
-
通过以下网址转到 IAM 控制台:https://console.aws.amazon.com/iam
。 -
在导航栏中选择 “角色”,然后选择 “创建角色”。
-
在创建角色页面中,选择其他Amazon账户。
-
输入所需的账户 ID 并选中 “需要 MFA” 复选框。
注意 要查找您的 12 位账号 (ID),请转到控制台中的导航栏,然后选择Support、S u pp ort 中心。
-
选择Next: Permissions(下一步: 权限)。
-
将现有策略附加到您的角色或为其创建新策略。您在此页面上选择的策略决定了 IAM 用户可以使用 Toolkit 访问哪些Amazon服务。
-
附加策略后,选择 Ne xt: Tags 作为向您的角色添加 IAM 标签的选项。然后选择 “下一步:查看” 继续。
-
在 “查看” 页面中,输入所需的角色名称(例如 toolkit- role)。您也可以添加可选的 Role descri ption 描述。
-
选择 Create role(创建角色)。
-
当显示确认消息(例如 “角色工具包角色已创建”)时,在消息中选择角色的名称。
-
在摘要页面中,选择复制图标以复制角色 ARN 并将其粘贴到文件中。(在配置 IAM 用户担任该角色时,您需要此 ARN。)。
步骤 2:创建承担该角色权限的 IAM 用户
在此步骤中,您首先创建没有权限的 IAM 用户。然后,创建一个内联策略,允许用户代入您在上一步中创建的角色(以及该角色的权限)。
创建 IAM 用户
-
通过以下网址转到 IAM 控制台:https://console.aws.amazon.com/iam
。 -
在导航栏中选择 “用户”,然后选择 “添加用户”。
-
在添加用户页面中,输入所需的用户名(例如 t oolkit-us er),然后选中 “编程访问” 复选框。
-
选择 “下一步:权限”、“下一步:标签” 和 “下一步:查看” 以浏览下一页。您在此阶段没有添加权限,因为用户将代入该角色的权限。
-
在评论页面中,您会被告知此用户没有权限。选择 Create user。
-
在 Suc es s 页面中,选择 Download .csv 以下载包含访问密钥 ID 和秘密访问密钥的文件。(在凭据文件中定义用户配置文件时,两者都需要。)
-
选择 Close(关闭)。
添加允许 IAM 用户代入该角色的策略
-
在 IAM 控制台的用户页面中,选择您刚刚创建的 IAM 用户(例如 toolkit-user)。
-
在 “摘要” 页面的 “权限” 选项卡中,选择 “添加内联策略”。
-
在 “创建策略” 页中,选择 “选择服务”,在 “查找服务” 中输入 ST S,然后从结果中选择 STS。
-
对于 “操作”,开始输入术语AssumeRole。AssumeRole复选框出现时将其选中。
-
在资源部分中,确保选中 “特定”,然后单击 “添加 ARN” 以限制访问权限。
-
在 “添加 ARN (s)” 对话框中,为 “为角色指定 AR N” 添加您在步骤 1 中创建的角色的 ARN。
添加角色的 ARN 后,与该角色关联的可信账户和角色名称将显示在带有路径的账户和角色名称中。
-
选择 Add(添加)。
-
返回 “创建策略” 页面,选择 “指定请求条件(可选)”,选中 “需要 MFA” 复选框,然后选择 “关闭” 进行确认。
-
选择查看策略
-
在查看策略页面中,输入策略的名称,然后选择创建策略。
权限选项卡显示直接附加到 IAM 用户的新内联策略。
步骤 3:管理 IAM 用户的虚拟 MFA 设备
-
将虚拟 MFA 应用程序下载并安装到您的智能手机。
有关支持的应用程序列表,请参阅多因素身份验证
资源页面。 -
在 IAM 控制台中,从导航栏中选择用户,然后选择代入角色的用户(在本例中为 toolkit-user)。
-
在 “摘要” 页面中,选择 “安全证书” 选项卡,然后为 “分配的 MFA 设备” 选择 “管理”。
-
在管理 MFA 设备窗格中,选择虚拟 MFA 设备,然后选择继续。
-
在 “设置虚拟 MFA 设备” 窗格中,选择 “显示二维码”,然后使用您在智能手机上安装的虚拟 MFA 应用程序扫描代码。
-
扫描二维码后,虚拟 MFA 应用程序生成一次性 MFA 代码。在 MFA 代码 1 和 MFA 代码 2 中连续输入两个 MFA 代码。
-
选择 Assign MFA (分配 MFA)。
-
返回用户的 “安全证书” 选项卡,复制新的已分配 MFA 设备的 ARN。
ARN 包含您的 12 位数账户 ID,其格式类似于以下格式:
arn:aws:iam::123456789012:mfa/toolkit-user
在下一步中定义 MFA 配置文件时,您需要用到此 ARN。
第 4 步:创建配置文件以允许 MFA
在此步骤中,您将创建允许适用于 Visual Studio 的 Toolkit 的用户在访问Amazon服务时使用 MFA 的配置文件。
您创建的配置文件包括您在前面步骤中复制和存储的三条信息:
-
IAM 用户的访问密钥(访问密钥 ID 和秘密访问密钥)
-
向 IAM 用户委派权限的角色的 ARN
-
分配给 IAM 用户的虚拟 MFA 设备的 ARN
在包含您的Amazon证书的Amazon共享凭证文件或 SDK Store 中,添加以下条目:
[toolkit-user] aws_access_key_id = AKIAIOSFODNN7EXAMPLE aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY [mfa] source_profile = toolkit-user role_arn = arn:aws:iam::111111111111:role/toolkit-role mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user
提供的示例中定义了两个配置文件:
-
[toolkit-user]
配置文件包括您在步骤 2 中创建 IAM 用户时生成和保存的访问密钥和私有访问密钥。 -
[mfa]
配置文件定义了如何支持多因素身份验证。共有三个条目:◦
source_profile
:指定配置文件,其凭据用于代入此配置文件中此role_arn
设置指定的角色。在本例中,这是toolkit-user
个人资料。◦
role_arn
:指定要用于执行此配置文件所请求操作的 IAM 角色的 Amazon 资源名称 (ARN)。在本例中,它是您在步骤 1 中创建的角色的 ARN。◦
mfa_serial
:指定用户在担任角色时必须使用的 MFA 设备的标识号或序列号。在这种情况下,它是您在步骤 3 中设置的虚拟设备的 ARN。