정책 생성을 선택합니다.
참고: AWS Command Line Interface(AWS CLI)를 사용하는 IAM 사용자에 대해 다중 인증(MFA)을 적용했다면 다음 단계를 완료하기 전에 MFA로 인증해야 합니다. 명시적 거부 메시지는 MFA가 거짓인 경우 작업을 거부하는 IAM 정책이 있음을 나타냅니다.
{ "Version": "2012-10-17",
"Statement": [
{
"Sid": "BlockMostAccessUnlessSignedInWithMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
MFA 디바이스를 사용하기 때문에 MFA 토큰을 사용하여 AWS CLI로 AWS 리소스에 대한 액세스를 인증해야 합니다. MFA 토큰을 사용하여 AWS CLI를 통해 AWS 리소스에 대한 액세스를 인증하려면 어떻게 하나요? 문서의 단계를 따르세요. 그런 다음, sts get-session-token AWS CLI 명령을 실행합니다. arn-of-the-mfa-device를 MFA 디바이스의 ARN으로 바꾸고 code-from-token를 토큰의 코드로 바꿉니다.
$ aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-token
값을 환경 변수로 내보내서 임시 자격 증명을 사용할 수 있습니다.
예를 들면 다음과 같습니다.
$ export AWS_ACCESS_KEY_ID=example-access-key-as-in-previous-output$ export AWS_SECRET_ACCESS_KEY=example-secret-access-key-as-in-previous-output$ export AWS_SESSION_TOKEN=example-session-token-as-in-previous-output