[ポリシーを作成] を選択します。
注: AWS コマンドラインインターフェイス (AWS CLI) を使用する IAM ユーザーに対して多要素認証 (MFA) を導入した場合は、次のステップを完了する前に MFA で認証する必要があります。明示的な拒否メッセージは、MFA が false の場合、アクションを拒否する IAM ポリシーがあることを示します。
{ "Version": "2012-10-17",
"Statement": [
{
"Sid": "BlockMostAccessUnlessSignedInWithMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
MFA デバイスを使用することにより、AWS CLI で AWS リソースへのアクセスを認証するには MFA トークンを使用する必要があります。記事「MFA トークンを使用して、AWS CLI を通じて AWS リソースへのアクセスを認証するにはどうすればよいですか?」に記載されている手順に従って、AWS CLI コマンド sts get-session-token を実行してください。arn-of-the-mfa-device を MFA デバイスの ARN に置き換え、code-from-token をトークンのコードに置き換えます。
$ aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-token
値を環境変数にエクスポートすることで、一時的な認証情報を使用できます。
例:
$ export AWS_ACCESS_KEY_ID=example-access-key-as-in-previous-output$ export AWS_SECRET_ACCESS_KEY=example-secret-access-key-as-in-previous-output$ export AWS_SESSION_TOKEN=example-session-token-as-in-previous-output