AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
Wie verwende ich die AWS CLI, um den Zugriff auf AWS-Ressourcen mit einem MFA-Token zu authentifizieren?
Ich möchte ein Multi-Faktor-Authentifizierungs (MFA)-Token mit der AWS Command Line Interface (AWS CLI) verwenden, um den Zugriff auf meine AWS-Ressourcen zu authentifizieren.
Kurzbeschreibung
Sie können bis zu acht MFA-Geräte für jeden AWS Identity and Access Management (IAM, Identitäts- und Zugriffsmanagement)-Benutzer aktivieren.
Hinweis: Die MFA-Aktivierung für den Root-Benutzer wirkt sich nur auf die Anmeldeinformationen des Root-Benutzers aus. Jede IAM-Identität in deinem AWS-Konto hat ihre eigene MFA-Konfiguration.
Informationen zur Aktivierung von MFA findest du unter Deine Root-Benutzeranmeldung mit Multi-Faktor-Authentifizierung (MFA) sichern und AWS Multi-Faktor-Authentifizierung in IAM.
Lösung
Wenn du beim Ausführen von AWS CLI-Befehlen Fehler erhältst, findest du weitere Informationen unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.
Um die AWS CLI zur Authentifizierung bei AWS-Ressourcen zu verwenden, verwende die API-Aktion GetSessionToken, um temporäre Anmeldeinformationen abzurufen. Temporäre Anmeldeinformationen sind standardmäßig 12 Stunden gültig. Verwende den Parameter duration-seconds, um die temporäre Dauer der Anmeldeinformationen für einen beliebigen Zeitraum zwischen 15 Minuten und 36 Stunden zu konfigurieren.
Hinweis: Der Benutzer benötigt entsprechende IAM-Berechtigungen, um das GetSessionToken verwenden zu können. Für weitere Informationen siehe Wie erzwinge ich die MFA-Authentifizierung für IAM-Benutzer, die die AWS-Managementkonsole und die AWS CLI verwenden?
ARN des MFA-Geräts
Gehe wie folgt vor, um den Amazon-Ressourcennamen (ARN) des MFA-Geräts abzurufen:
- Öffne die IAM-Konsole.
- Wähle im Navigationsbereich Benutzer und dann den IAM-Benutzer aus.
- Wähle auf der Seite Zusammenfassung die Registerkarte Sicherheitsanmeldeinformationen aus.
- Kopieren Sie unter Assigned MFA device (Zugewiesenes MFA-Gerät) den ARN des MFA-Geräts.
Verwendung der AWS CLI, um temporäre Anmeldeinformationen abzurufen
Führen Sie den Befehl get-session-token aus:
aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-token
Beispielausgabe:
{ "Credentials": { "SecretAccessKey": "secret-access-key", "SessionToken": "temporary-session-token", "Expiration": "expiration-date-time", "AccessKeyId": "access-key-id" } }
Wichtig: Stelle sicher, dass die Seriennummer, das Token und die ARN des MFA-Geräts korrekt sind. Ist dies nicht der Fall, erhältst du möglicherweise eine Fehlermeldung, die der folgenden ähnelt:
„An error occurred (AccessDenied) when calling the GetSessionToken operation: MultiFactorAuthentication failed, unable to validate MFA code. Please verify your MFA serial number is valid and associated with this user.“
Um das MFA-Hardwaregerät zu authentifizieren, befindet sich die Seriennummer normalerweise auf der Rückseite des Geräts und ähnelt GAHT12345678. Um dein virtuelles MFA-Gerät zu authentifizieren, ähnelt der Wert arn:aws:iam::123456789012:mfa/user.
Hinweis: Die AWS CLI unterstützt die MFA-Authentifizierung nur bei einem virtuellen oder Hardware-MFA-Gerät. Die AWS CLI unterstützt keine MFA-Authentifizierung beim FIDO-Sicherheitsschlüssel.
Weitere Informationen finden Sie unter Zuweisen von MFA-Geräten in der AWS CLI oder AWS-API.
Verwendung temporärer Anmeldeinformationen, um ihre Werte in Umgebungsvariablen zu exportieren
Führen Sie die folgenden Befehle für das Betriebssystem (OS) aus:
Linux
export AWS_ACCESS_KEY_ID=example-access-key-as-in-previous-outputexport AWS_SECRET_ACCESS_KEY=example-secret-access-key-as-in-previous-output export AWS_SESSION_TOKEN=example-session-token-as-in-previous-output
Windows
set AWS_ACCESS_KEY_ID=example-access-key-as-in-previous-outputset AWS_SECRET_ACCESS_KEY=example-secret-access-key-as-in-previous-output set AWS_SESSION_TOKEN=example-session-Token-as-in-previous-output
Bevor Sie den Befehl get-session-token erneut ausführen, führen Sie die folgenden Befehle aus, um die Umgebungsvariablen aufzuheben:
Linux
unset AWS_ACCESS_KEY_IDunset AWS_SECRET_ACCESS_KEY unset AWS_SESSION_TOKEN
Windows
set AWS_ACCESS_KEY_ID=set AWS_SECRET_ACCESS_KEY= set AWS_SESSION_TOKEN=
Verwendung temporärer Anmeldeinformationen bei benannten Profilen
Du kannst auch benannte Profile verwenden, um die Befehle anzugeben, für die eine MFA erforderlich ist. Füge in der Datei mit den Anmeldeinformationen, die sich im Ordner .aws des Stammverzeichnisses des Benutzers befindet, eine neue Profilkonfiguration hinzu, um MFA-authentifizierte Befehle auszugeben.
Beispiel für eine Profilkonfiguration:
[mfa]aws_access_key_id = example-access-key-as-in-returned-outputaws_secret_access_key = example-secret-access-key-as-in-returned-output aws_session_token = example-session-token-as-in-returned-output
Nachdem die Anmeldeinformationen abgelaufen sind, führe den Befehl get-session-token erneut aus. Exportiere dann die zurückgegebenen Werte in die Umgebungsvariablen oder die Profilkonfiguration.
Es hat sich bewährt, im Hintergrund ein Skript oder einen Cron Job auszuführen, der in der Ausgabe des Befehls get-session-token nach dem Ablauf sucht. Wenn das MFA-Token abgelaufen ist, stelle sicher, dass das Skript oder der Cron Job zur erneuten Authentifizierung auffordert.
Wenn du benannte Profile zur Authentifizierung verwendest, gib die Option Profil gefolgt vom Profilnamen an. Dadurch wird überprüft, ob die API-Aufrufe MFA zur Authentifizierung verwenden.
Ähnliche Informationen
- Sprache
- Deutsch
