Autenticación multifactorial (MFA) en Toolkit for Visual Studio

La autenticación multifactorial (MFA) es una seguridad adicional para sus AWS cuentas. MFArequiere que los usuarios proporcionen credenciales de inicio de sesión y una autenticación única mediante un MFA mecanismo AWS compatible al acceder a AWS sitios web o servicios.

AWS admite una variedad de dispositivos virtuales y de hardware para la MFA autenticación. El siguiente es un ejemplo de un MFA dispositivo virtual habilitado mediante una aplicación de teléfono inteligente. Para obtener más información sobre las opciones MFA del dispositivo, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del IAM usuario.

Paso 1: Crear un IAM rol para delegar el acceso a los usuarios IAM

El siguiente procedimiento describe cómo configurar la delegación de roles para asignar permisos a un usuario. IAM Para obtener información detallada sobre la delegación de roles, consulte el tema Creación de un rol para delegar permisos a un IAM usuario en la Guía del usuario.AWS Identity and Access Management

1. Ve a la IAM consola en https://console.aws.amazon.com/iam.

2. En la barra de navegación, seleccione Roles y, a continuación, seleccione Crear rol.

3. En la página Crear un rol, seleccione Otra cuenta de AWS .

4. Introduzca el ID de cuenta requerido y marque la casilla de MFA verificación Requerir.

   nota

   Para encontrar el número de cuenta de 12 cifras (ID), vaya a la barra de navegación en la consola y seleccione Soporte y, a continuación, elija Centro de soporte.

5. Elija Siguiente: permisos.

6. Adjunte las políticas existentes al rol o cree una nueva política para él. Las políticas que elija en esta página determinan a qué AWS servicios puede acceder el IAM usuario con el kit de herramientas.

7. Tras adjuntar las políticas, seleccione Siguiente: etiquetas para tener la opción de añadir IAM etiquetas a su función. Elija Siguiente: revisión para continuar.

8. En la página de revisión, introduzca un Nombre del rol obligatorio (toolkit-role, por ejemplo). También puede añadir una descripción opcional en Descripción del rol.

9. Elija Crear rol.

10. Cuando aparezca el mensaje de confirmación (por ejemplo, "Se ha creado el rol toolkit-role"), elija el nombre del rol en el mensaje.

11. En la página de resumen, selecciona el icono de copia para copiar el rol ARN y pegarlo en un archivo. (Lo necesitará ARN al configurar el IAM usuario para que asuma el rol).

Paso 2: Crear un IAM usuario que asuma los permisos del rol

Este paso crea un IAM usuario sin permisos para poder añadir una política en línea.

1. Ve a la IAM consola en https://console.aws.amazon.com/iam.

2. En la barra de navegación, elija Usuarios y, a continuación, elija Agregar usuario.

3. En la página Agregar usuario, indique el Nombre de usuario necesario (toolkit-user, por ejemplo) y marque la casilla de verificación Acceso mediante programación.

4. Seleccione Siguiente: permisos, Siguiente: etiquetas y Siguiente: revisar para avanzar por las páginas siguientes. En este momento no va a añadir permisos porque el usuario va a asumir los permisos del rol.

5. En la página Revisión, se le informa de que este usuario no tiene permisos. Seleccione la opción Crear un usuario.

6. En la página Correcto, elija Descargar .csv para descargar el archivo que contiene el ID de clave de acceso y la clave de acceso secreta. (Necesitará ambos al definir el perfil del usuario en el archivo credentials).

7. Elija Close.

Paso 3: Añadir una política que permita al IAM usuario asumir el rol

El siguiente procedimiento crea una política insertada que permite al usuario asumir el rol (y los permisos de dicho rol).

1. En la página Usuarios de la IAM consola, elige el IAM usuario que acabas de crear (toolkit-user, por ejemplo).

2. En la pestaña Permisos de la página Resumen, seleccione Añadir política insertada.

3. En la página Crear política, elija Elegir un servicio, escriba STSBuscar un servicio y, a continuación, elija uno STSde los resultados.

4. En Acciones, comience a introducir el término AssumeRole. Marque la AssumeRolecasilla de verificación cuando aparezca.

5. En la sección Recurso, asegúrese de que esté seleccionada la opción Específico y haga clic en Agregar ARN para restringir el acceso.

6. En el cuadro de diálogo Agregar ARN (s), ARNpara especificar el ARN rol, agregue el rol que creó en el paso 1.

   Tras añadir el rolARN, la cuenta de confianza y el nombre del rol asociados a ese rol se muestran en Nombre de cuenta y rol con la ruta.

7. Elija Añadir.

8. De vuelta a la página de creación de políticas, selecciona Especificar las condiciones de la solicitud (opcional), MFAmarca la casilla correspondiente y, a continuación, pulsa cerrar para confirmar.

9. Elija Revisar la política

10. En la página Revisar la política, escriba un nombre para la política y después elija Crear política.

    La pestaña Permisos muestra la nueva política en línea adjunta directamente al IAM usuario.

Paso 4: Administrar un MFA dispositivo virtual para el usuario IAM

1. Descargue e instale una MFA aplicación virtual en su teléfono inteligente.

   Para obtener una lista de las aplicaciones compatibles, consulte la página de recursos sobre la autenticación multifactor.

2. En la IAM consola, elija Usuarios en la barra de navegación y, a continuación, elija el usuario que asumirá el rol (usuario del kit de herramientas, en este caso).

3. En la página de resumen, selecciona la pestaña Credenciales de seguridad y, en MFADispositivo asignado, selecciona Administrar.

4. En el panel Administrar MFA dispositivo, selecciona MFADispositivo virtual y, a continuación, selecciona Continuar.

5. En el panel Configurar MFA dispositivo virtual, selecciona Mostrar código QR y, a continuación, escanea el código con la MFA aplicación virtual que has instalado en tu smartphone.

6. Tras escanear el código QR, la MFA aplicación virtual genera MFA códigos de un solo uso. Introduzca dos MFA códigos consecutivos en el MFAcódigo 1 y el MFAcódigo 2.

7. Elija Assign (Asignar)MFA.

8. Vuelva a la pestaña Credenciales de seguridad del usuario, copie las ARN del nuevo MFAdispositivo asignado.

   ARNIncluye su ID de cuenta de 12 dígitos y el formato es similar al siguiente:arn:aws:iam::123456789012:mfa/toolkit-user. Lo necesitará ARN al definir el MFA perfil en el siguiente paso.

Paso 5: Crear perfiles para permitir MFA

El siguiente procedimiento crea los perfiles que permiten MFA acceder a AWS los servicios del Toolkit for Visual Studio.

Los perfiles que cree incluyen tres datos que ha copiado y almacenado durante los pasos anteriores:

• Claves de acceso (identificador de clave de acceso y clave de acceso secreta) para el usuario IAM

• ARNdel rol que delega los permisos al IAM usuario

• ARNdel MFA dispositivo virtual que está asignado al usuario IAM

En el archivo de credenciales AWS compartido o en la SDK tienda que contiene sus AWS credenciales, añada las siguientes entradas:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

En el ejemplo se definen dos perfiles:

• [toolkit-user]el perfil incluye la clave de acceso y la clave de acceso secreta que se generaron y guardaron al crear el IAM usuario en el paso 2.

• El perfil de [mfa] define cómo se admite la autenticación multifactorial. Hay tres entradas:

  ◦ source_profile: especifica el perfil cuyas credenciales se utilizan para asumir el rol especificado por la configuración de role_arn en este perfil. En este caso, es perfil toolkit-user.

  ◦role_arn: Especifica el nombre del recurso de Amazon (ARN) del IAM rol que desea utilizar para realizar las operaciones solicitadas con este perfil. En este caso, es el ARN del rol que creó en el paso 1.

  ◦mfa_serial: especifica la identificación o el número de serie del MFA dispositivo que el usuario debe usar al asumir un rol. En este caso, es el ARN del dispositivo virtual que configuró en el paso 3.