Multi-Faktor-Authentifizierung (MFA) im Toolkit for Visual Studio - AWS Toolkit mit Amazon Q
Schritt 1: Eine IAM Rolle erstellen, um den Zugriff an Benutzer zu delegieren IAMSchritt 2: Einen IAM Benutzer erstellen, der die Rechte der Rolle übernimmtSchritt 3: Hinzufügen einer Richtlinie, die es dem IAM Benutzer ermöglicht, die Rolle zu übernehmenSchritt 4: Verwaltung eines virtuellen MFA Geräts für den IAM BenutzerSchritt 5: Profile zum Zulassen erstellen MFA

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Multi-Faktor-Authentifizierung (MFA) im Toolkit for Visual Studio

Die Multi-Faktor-Authentifizierung (MFA) bietet zusätzliche Sicherheit für Ihre AWS Konten. MFAerfordert, dass Benutzer beim Zugriff auf AWS Websites oder Dienste Anmeldeinformationen und eine eindeutige Authentifizierung über einen AWS unterstützten MFA Mechanismus angeben.

AWS unterstützt eine Reihe von virtuellen Geräten und Hardwaregeräten für die MFA Authentifizierung. Im Folgenden finden Sie ein Beispiel für ein virtuelles MFA Gerät, das über eine Smartphone-Anwendung aktiviert wird. Weitere Informationen zu den MFA Geräteoptionen finden Sie im AWSIAMBenutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).

Schritt 1: Eine IAM Rolle erstellen, um den Zugriff an Benutzer zu delegieren IAM

Das folgende Verfahren beschreibt, wie Sie die Rollendelegierung für die Zuweisung von Berechtigungen an einen Benutzer einrichten. IAM Ausführliche Informationen zur Rollendeligation finden Sie im Thema Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM Benutzer im Benutzerhandbuch.AWS Identity and Access Management

  1. Rufen Sie die IAM Konsole unter https://console.aws.amazon.com/iam auf.

  2. Wählen Sie in der Navigationsleiste Rollen und dann Rolle erstellen aus.

  3. Wählen Sie auf der Seite „Rolle erstellen“ die Option „Anderes AWS Konto“ aus.

  4. Geben Sie die erforderliche Konto-ID ein und aktivieren Sie das MFA Kontrollkästchen Erforderlich.

    Anmerkung

    Um Ihre 12-stellige Kontonummer (ID) zu finden, rufen Sie die Navigationsleiste in der Konsole auf und wählen Sie dann Support, Support Center aus.

  5. Wählen Sie Weiter: Berechtigungen aus.

  6. Hängen Sie bestehende Richtlinien an Ihre Rolle an oder erstellen Sie eine neue Richtlinie dafür. Die Richtlinien, die Sie auf dieser Seite auswählen, bestimmen, auf welche AWS Dienste der IAM Benutzer mit dem Toolkit zugreifen kann.

  7. Nachdem Sie die Richtlinien angehängt haben, wählen Sie Weiter: Tags, um Ihrer Rolle IAM Tags hinzuzufügen. Wählen Sie dann Weiter: Überprüfen, um fortzufahren.

  8. Geben Sie auf der Seite „Überprüfen“ den erforderlichen Rollennamen ein (z. B. die Toolkit-Rolle). Sie können auch eine optionale Rollenbeschreibung hinzufügen.

  9. Wählen Sie Rolle erstellen aus.

  10. Wenn die Bestätigungsmeldung angezeigt wird (z. B. „Die Rollen-Toolkit-Rolle wurde erstellt“), wählen Sie den Namen der Rolle in der Nachricht aus.

  11. Wählen Sie auf der Übersichtsseite das Symbol „Kopieren“, um die Rolle zu kopieren ARN und in eine Datei einzufügen. (Sie benötigen diesARN, wenn Sie den IAM Benutzer so konfigurieren, dass er die Rolle übernimmt.).

Schritt 2: Einen IAM Benutzer erstellen, der die Rechte der Rolle übernimmt

In diesem Schritt wird ein IAM Benutzer ohne Berechtigungen erstellt, sodass eine Inline-Richtlinie hinzugefügt werden kann.

  1. Rufen Sie die IAM Konsole unter https://console.aws.amazon.com/iam auf.

  2. Wählen Sie in der Navigationsleiste Benutzer und dann Benutzer hinzufügen aus.

  3. Geben Sie auf der Seite „Benutzer hinzufügen“ den erforderlichen Benutzernamen ein (z. B. Toolkit-Benutzer) und aktivieren Sie das Kontrollkästchen Programmatischer Zugriff.

  4. Wählen Sie Weiter: Berechtigungen, Weiter: Stichwörter und Weiter: Überprüfen, um zu den nächsten Seiten zu gelangen. Sie fügen zu diesem Zeitpunkt keine Berechtigungen hinzu, da der Benutzer die Berechtigungen der Rolle übernehmen wird.

  5. Auf der Seite „Überprüfen“ werden Sie darüber informiert, dass dieser Benutzer keine Berechtigungen besitzt. Wählen Sie Create user (Benutzer erstellen) aus.

  6. Wählen Sie auf der Seite „Erfolg“ die Option „.csv herunterladen“, um die Datei herunterzuladen, die die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel enthält. (Sie benötigen beide, wenn Sie das Benutzerprofil in der Anmeldeinformationsdatei definieren.)

  7. Klicken Sie auf Schließen.

Schritt 3: Hinzufügen einer Richtlinie, die es dem IAM Benutzer ermöglicht, die Rolle zu übernehmen

Mit dem folgenden Verfahren wird eine Inline-Richtlinie erstellt, die es dem Benutzer ermöglicht, die Rolle (und die Berechtigungen dieser Rolle) zu übernehmen.

  1. Wählen Sie auf der Seite Benutzer der IAM Konsole den IAM Benutzer aus, den Sie gerade erstellt haben (z. B. toolkit-user).

  2. Wählen Sie auf der Übersichtsseite auf der Registerkarte „Berechtigungen“ die Option Inline-Richtlinie hinzufügen aus.

  3. Wählen Sie auf der Seite Richtlinie erstellen die Option Dienst auswählen aus, geben Sie STSDienst suchen ein, und wählen Sie dann STSaus den Ergebnissen aus.

  4. Beginnen Sie mit der Eingabe des Begriffs für Aktionen AssumeRole. Markieren AssumeRoleSie das Kontrollkästchen, wenn es angezeigt wird.

  5. Vergewissern Sie sich, dass im Bereich Ressource die Option Spezifisch ausgewählt ist, und klicken Sie auf Hinzufügen, ARN um den Zugriff einzuschränken.

  6. Fügen Sie im Dialogfeld Hinzufügen ARN (en) unter Rolle angeben ARN die ARN Rolle hinzu, die Sie in Schritt 1 erstellt haben.

    Nachdem Sie die Rollen hinzugefügt habenARN, werden das vertrauenswürdige Konto und der Rollenname, die dieser Rolle zugeordnet sind, unter Konto - und Rollenname mit Pfad angezeigt.

  7. Wählen Sie Hinzufügen aus.

  8. Zurück auf der Seite „Richtlinie erstellen“ wählen Sie Anforderungsbedingungen angeben (optional) aus, markieren Sie das MFAerforderliche Kontrollkästchen und klicken Sie dann zur Bestätigung auf Schließen.

  9. Wählen Sie Review policy (Richtlinie überprüfen) aus.

  10. Geben Sie auf der Seite Richtlinie überprüfen einen Namen für die Richtlinie ein und wählen Sie dann Richtlinie erstellen aus.

    Auf der Registerkarte „Berechtigungen“ wird die neue Inline-Richtlinie angezeigt, die direkt an den IAM Benutzer angehängt ist.

Schritt 4: Verwaltung eines virtuellen MFA Geräts für den IAM Benutzer

  1. Laden Sie eine virtuelle MFA Anwendung herunter und installieren Sie sie auf Ihrem Smartphone.

    Eine Liste der unterstützten Anwendungen finden Sie auf der Ressourcenseite zur Multi-Faktor-Authentifizierung.

  2. Wählen Sie in der IAM Konsole in der Navigationsleiste Benutzer und dann den Benutzer aus, der eine Rolle annimmt (in diesem Fall Toolkit-Benutzer).

  3. Wählen Sie auf der Übersichtsseite die Registerkarte Sicherheitsanmeldedaten und wählen Sie unter Zugewiesenes MFA Gerät die Option Verwalten aus.

  4. Wählen Sie im Bereich „MFAGerät verwalten“ die Option Virtuelles MFA Gerät und dann Weiter aus.

  5. Wählen Sie im Bereich Virtuelles MFA Gerät einrichten die Option QR-Code anzeigen aus und scannen Sie dann den Code mit der virtuellen MFA Anwendung, die Sie auf Ihrem Smartphone installiert haben.

  6. Nachdem Sie den QR-Code gescannt haben, generiert die virtuelle MFA Anwendung MFA Einmalcodes. Geben Sie zwei aufeinanderfolgende MFA Codes in MFACode 1 und MFACode 2 ein.

  7. Wählen Sie AssignMFA (Zuweisen).

  8. Gehen Sie zurück zur Registerkarte Sicherheitsanmeldedaten für den Benutzer und kopieren Sie die ARN Datei des neuen zugewiesenen MFA Geräts.

    Das ARN beinhaltet Ihre 12-stellige Konto-ID und das Format ähnelt dem folgenden:arn:aws:iam::123456789012:mfa/toolkit-user. Sie benötigen diesARN, wenn Sie das MFA Profil im nächsten Schritt definieren.

Schritt 5: Profile zum Zulassen erstellen MFA

Mit dem folgenden Verfahren werden die Profile erstellt, die MFA den Zugriff auf AWS Dienste aus dem Toolkit for Visual Studio ermöglichen.

Die von Ihnen erstellten Profile enthalten drei Informationen, die Sie in den vorherigen Schritten kopiert und gespeichert haben:

  • Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den IAM Benutzer

  • ARNder Rolle, die Berechtigungen an den Benutzer delegiert IAM

  • ARNdes virtuellen MFA Geräts, das dem Benutzer zugewiesen ist IAM

Fügen Sie in der AWS gemeinsam genutzten Anmeldeinformationsdatei oder dem SDK Store, der Ihre AWS Anmeldeinformationen enthält, die folgenden Einträge hinzu:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

In dem angegebenen Beispiel sind zwei Profile definiert:

  • [toolkit-user]Das Profil enthält den Zugriffsschlüssel und den geheimen Zugriffsschlüssel, die generiert und gespeichert wurden, als Sie den IAM Benutzer in Schritt 2 erstellt haben.

  • [mfa]Das Profil definiert, wie die Multi-Faktor-Authentifizierung unterstützt wird. Es gibt drei Einträge:

    source_profile: Gibt das Profil an, dessen Anmeldeinformationen verwendet werden, um die in dieser role_arn Einstellung angegebene Rolle in diesem Profil anzunehmen. In diesem Fall ist es das toolkit-user Profil.

    role_arn: Gibt den Amazon-Ressourcennamen (ARN) der IAM Rolle an, die Sie verwenden möchten, um mit diesem Profil angeforderte Operationen auszuführen. In diesem Fall ist es die ARN für die Rolle, die Sie in Schritt 1 erstellt haben.

    mfa_serial: Gibt die Identifikations- oder Seriennummer des MFA Geräts an, die der Benutzer verwenden muss, wenn er eine Rolle übernimmt. In diesem Fall handelt es sich um das ARN virtuelle Gerät, das Sie in Schritt 3 eingerichtet haben.