La autenticación multifactor (MFA) se utiliza para agregar otra capa de seguridad a las cuentas/identidades de IAM. AWS permite a los usuarios agregar MFA a sus cuentas para proteger aún más sus recursos. AWS CLI es otro método para administrar los recursos de AWS que también se pueden proteger a través de MFA.
Esta guía explicará cómo usar MFA con AWS CLI.
¿Cómo usar MFA con AWS CLI?
Visite Identity and Access Management (IAM) desde la consola de AWS y haga clic en el botón “ Usuarios ' página:
Seleccione el perfil haciendo clic en su nombre:
Se requiere tener un perfil habilitado con MFA:
Visite la Terminal desde su sistema local y configurar la CLI de AWS:
aws configure --perfil de demostración 
Utilice el comando AWS CLI para confirmar la configuración:
aws s3 ls --demostración de perfilEjecutar el comando anterior mostró el nombre del depósito S3 que muestra que la configuración es correcta:
Vuelva a la página de usuarios de IAM y haga clic en ' permisos ' sección:
En la sección de permisos, expanda el ' Agregar permisos ” menú y haga clic en el “ Crear política en línea ' botón:
Pegue el siguiente código en la sección JSON:
{'Versión': '2012-10-17',
'Declaración': [
{
'Sid': 'Debe estar firmado con MFA',
'Efecto': 'Denegar',
'SinAcción': [
'iam:CrearDispositivoVirtualMFA',
'iam:Eliminar dispositivo MFA virtual',
'ya:ListVirtualMFADevices',
'iam:EnableMFADevice',
'atasco:ResyncMFADevice',
'iam:Alias de la cuenta de lista',
'ya:ListaUsuarios',
'iam:ListSSHPublicKeys',
'iam:ListaAccesoClaves',
'iam:ListServiceSpecificCredentials',
'ya: ListMFADevices',
'iam:ObtenerResumenDeCuenta',
'sts:GetSessionToken'
],
'Recurso': '*',
'Condición': {
'BoolSiExiste': {
'aws:MultiFactorAuthPresent': 'falso'
}
}
}
]
}
Seleccione la pestaña JSON y pegue el código anterior dentro del editor. Clickea en el ' Política de revisión ' botón:
Escriba el nombre de la política:
Desplácese hasta la parte inferior de la página y haga clic en ' Crear política ' botón:
Regrese a la terminal y verifique nuevamente el comando AWS CLI:
aws s3 ls --demostración de perfilAhora la ejecución del comando muestra el “ Acceso denegado ' error:
Copie el ARN del “ Usuarios ” Cuenta MFA:
La siguiente es la sintaxis del comando para obtener las credenciales de la cuenta MFA:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-tokenCambiar el ' arn-del-dispositivo-mfa ” con el Identificador copiado del panel de AWS IAM y cambie “ código de token ” con el código de la aplicación MFA:
aws sts get-session-token --serial-number arn:aws:iam::*******94723:mfa/Authenticator --token-code 265291Copie las credenciales proporcionadas en cualquier editor para usarlas en el archivo de credenciales más adelante:
Utilice el siguiente comando para editar el archivo de credenciales de AWS:
nano ~/.aws/credenciales 
Agregue el siguiente código al archivo de credenciales:
[mfa]aws_access_key_id = Clave de acceso
aws_secret_access_key = Clave secreta
aws_session_token = token de sesión
Cambie AccessKey, SecretKey y SessionToken con el ' ID de clave de acceso ”, “ ID de acceso secreto ', y ' token de sesión proporcionado en el paso anterior:
[mfa]aws_access_key_id = Clave de acceso
aws_secret_access_key = t/clave secreta
aws_session_token = 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
Verifique las credenciales agregadas usando el siguiente comando:
más .aws/credenciales 
Utilice el comando AWS CLI con el ' mfa ' perfil:
aws s3 ls --perfil mfaLa ejecución exitosa del comando anterior sugiere que el perfil MFA se agregó correctamente:
Se trata de usar MFA con AWS CLI.
Conclusión
Para usar MFA con AWS CLI, asigne MFA al usuario de IAM y luego configúrelo en el terminal. Después de eso, agregue una política en línea al usuario para que solo pueda usar ciertos comandos a través de ese perfil. Una vez hecho esto, obtenga las credenciales de MFA y luego actualícelas en el archivo de credenciales de AWS. Nuevamente, use los comandos de la AWS CLI con un perfil MFA para administrar los recursos de AWS. Esta guía ha explicado cómo usar MFA con AWS CLI.