Authentification multifactorielle (MFA) dans Toolkit for Visual Studio - AWS Boîte à outils avec Amazon Q
Étape 1 : Création d'un IAM rôle pour déléguer l'accès aux IAM utilisateursÉtape 2 : Création d'un IAM utilisateur qui assume les autorisations du rôleÉtape 3 : ajout d'une politique permettant à l'IAMutilisateur d'assumer le rôleÉtape 4 : Gestion d'un MFA appareil virtuel pour l'IAMutilisateurÉtape 5 : Création de profils pour autoriser MFA

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification multifactorielle (MFA) dans Toolkit for Visual Studio

L'authentification multifactorielle (MFA) renforce la sécurité de vos AWS comptes. MFAexige que les utilisateurs fournissent des informations de connexion et une authentification unique à l'aide d'un MFA mécanisme AWS pris en charge lorsqu'ils accèdent à des AWS sites Web ou à des services.

AWS prend en charge une gamme de périphériques virtuels et matériels pour MFA l'authentification. Voici un exemple d'MFAappareil virtuel activé par le biais d'une application pour smartphone. Pour plus d'informations sur les options de l'MFAappareil, voir Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'IAMutilisateur.

Étape 1 : Création d'un IAM rôle pour déléguer l'accès aux IAM utilisateurs

La procédure suivante décrit comment configurer la délégation de rôles pour attribuer des autorisations à un utilisateur. IAM Pour obtenir des informations détaillées sur la délégation de rôles, consultez la rubrique Création d'un rôle pour déléguer des autorisations à un IAM utilisateur dans le Guide de l'AWS Identity and Access Management utilisateur.

  1. Accédez à la IAM console à l'adresse https://console.aws.amazon.com/iam.

  2. Choisissez Rôles dans la barre de navigation, puis choisissez Créer un rôle.

  3. Sur la page Créer un rôle, choisissez Un autre AWS compte.

  4. Entrez le numéro de compte requis et cochez la MFA case Exiger.

    Note

    Pour trouver votre numéro de compte (ID) à 12 chiffres, accédez à la barre de navigation de la console, puis choisissez Support, Support Center.

  5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  6. Associez des politiques existantes à votre rôle ou créez-en une nouvelle pour celui-ci. Les politiques que vous choisissez sur cette page déterminent les AWS services auxquels l'IAMutilisateur peut accéder avec le kit d'outils.

  7. Après avoir joint des politiques, choisissez Next : Tags pour pouvoir ajouter des IAM tags à votre rôle. Choisissez ensuite Next : Review pour continuer.

  8. Sur la page Révision, entrez le nom de rôle requis (toolkit-role, par exemple). Vous pouvez également ajouter une description de rôle facultative.

  9. Sélectionnez Créer un rôle.

  10. Lorsque le message de confirmation s'affiche (« Le rôle de la boîte à outils a été créé », par exemple), choisissez le nom du rôle dans le message.

  11. Sur la page Résumé, cliquez sur l'icône de copie pour copier le rôle ARN et le coller dans un fichier. (Vous en avez besoin ARN lorsque vous configurez l'IAMutilisateur pour qu'il assume le rôle.)

Étape 2 : Création d'un IAM utilisateur qui assume les autorisations du rôle

Cette étape crée un IAM utilisateur sans autorisation afin qu'une politique en ligne puisse être ajoutée.

  1. Accédez à la IAM console à l'adresse https://console.aws.amazon.com/iam.

  2. Choisissez Utilisateurs dans la barre de navigation, puis sélectionnez Ajouter un utilisateur.

  3. Sur la page Ajouter un utilisateur, entrez le nom d'utilisateur requis (toolkit-user, par exemple) et cochez la case Accès par programmation.

  4. Choisissez Suivant : Autorisations, Suivant : Balises et Suivant : Révision pour passer aux pages suivantes. Vous n'ajoutez pas d'autorisations à ce stade, car l'utilisateur va assumer les autorisations du rôle.

  5. Sur la page d'évaluation, vous êtes informé que cet utilisateur n'a aucune autorisation. Choisissez Create user (Créer un utilisateur).

  6. Sur la page Réussite, choisissez Télécharger le fichier .csv pour télécharger le fichier contenant l'ID de clé d'accès et la clé d'accès secrète. (Vous avez besoin des deux pour définir le profil de l'utilisateur dans le fichier d'informations d'identification.)

  7. Choisissez Fermer.

Étape 3 : ajout d'une politique permettant à l'IAMutilisateur d'assumer le rôle

La procédure suivante crée une politique en ligne qui permet à l'utilisateur d'assumer le rôle (et les autorisations associées à ce rôle).

  1. Sur la page Utilisateurs de la IAM console, choisissez l'IAMutilisateur que vous venez de créer (toolkit-user, par exemple).

  2. Dans l'onglet Autorisations de la page Résumé, choisissez Ajouter une politique intégrée.

  3. Sur la page Créer une politique, choisissez Choisir un service, saisissez STSRechercher un service, puis choisissez STSparmi les résultats.

  4. Pour Actions, commencez à saisir le terme AssumeRole. AssumeRoleCochez la case lorsqu'elle apparaît.

  5. Dans la section Ressource, assurez-vous que Spécifique est sélectionné, puis cliquez sur Ajouter ARN pour restreindre l'accès.

  6. Dans la boîte de dialogue Ajouter ARN (s), pour le rôle Spécifier ARN, ajoutez le ARN rôle que vous avez créé à l'étape 1.

    Une fois que vous avez ajouté le rôleARN, le compte approuvé et le nom du rôle associés à ce rôle sont affichés dans Nom du compte et du rôle avec chemin.

  7. Choisissez Ajouter.

  8. De retour sur la page Créer une politique, choisissez Spécifier les conditions de la demande (facultatif), cochez la case MFArequise, puis cliquez sur Fermer pour confirmer.

  9. Choisissez Review policy (Examiner la politique)

  10. Dans la page Révision de la politique, entrez le nom de la politique, puis choisissez Créer une politique.

    L'onglet Autorisations affiche la nouvelle politique intégrée attachée directement à IAM l'utilisateur.

Étape 4 : Gestion d'un MFA appareil virtuel pour l'IAMutilisateur

  1. Téléchargez et installez une MFA application virtuelle sur votre smartphone.

    Pour obtenir la liste des applications prises en charge, consultez la page de ressources sur l'authentification multifactorielle.

  2. Dans la IAM console, choisissez Utilisateurs dans la barre de navigation, puis choisissez l'utilisateur qui assume un rôle (utilisateur de la boîte à outils, dans ce cas).

  3. Sur la page Résumé, choisissez l'onglet Informations d'identification de sécurité, et pour MFAAppareil attribué, sélectionnez Gérer.

  4. Dans le volet Gérer l'MFAappareil, sélectionnez MFAAppareil virtuel, puis choisissez Continuer.

  5. Dans le volet Configurer un MFA appareil virtuel, choisissez Afficher le code QR, puis scannez le code à l'aide de l'MFAapplication virtuelle que vous avez installée sur votre smartphone.

  6. Après avoir scanné le code QR, l'MFAapplication virtuelle génère des MFA codes à usage unique. Entrez deux MFA codes consécutifs dans le MFAcode 1 et MFAle code 2.

  7. Choisissez AttribuerMFA.

  8. De retour dans l'onglet Informations d'identification de sécurité ARN de l'utilisateur, copiez le nouveau MFApériphérique attribué.

    ARNCela inclut votre identifiant de compte à 12 chiffres et le format est similaire au suivant :arn:aws:iam::123456789012:mfa/toolkit-user. Vous en aurez besoin ARN lors de la définition du MFA profil à l'étape suivante.

Étape 5 : Création de profils pour autoriser MFA

La procédure suivante crée les profils permettant d'MFAaccéder aux AWS services depuis le Toolkit for Visual Studio.

Les profils que vous créez incluent trois informations que vous avez copiées et stockées au cours des étapes précédentes :

  • Clés d'accès (ID de clé d'accès et clé d'accès secrète) pour l'IAMutilisateur

  • ARNdu rôle qui délègue les autorisations à l'utilisateur IAM

  • ARNdu MFA périphérique virtuel attribué à l'IAMutilisateur

Dans le fichier d'informations d'identification AWS partagé ou dans le SDK magasin qui contient vos AWS informations d'identification, ajoutez les entrées suivantes :

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

Deux profils sont définis dans l'exemple fourni :

  • [toolkit-user]le profil inclut la clé d'accès et la clé d'accès secrète qui ont été générées et enregistrées lorsque vous avez créé l'IAMutilisateur à l'étape 2.

  • [mfa]le profil définit le mode de prise en charge de l'authentification multifactorielle. Il y a trois entrées :

    source_profile : Spécifie le profil dont les informations d'identification sont utilisées pour assumer le rôle spécifié par ce role_arn paramètre dans ce profil. Dans ce cas, il s'agit du toolkit-user profil.

    role_arn : Spécifie le nom de ressource Amazon (ARN) du IAM rôle que vous souhaitez utiliser pour effectuer les opérations demandées à l'aide de ce profil. Dans ce cas, il s'agit du ARN rôle que vous avez créé à l'étape 1.

    mfa_serial : Spécifie l'identification ou le numéro de série de l'MFAappareil que l'utilisateur doit utiliser lorsqu'il assume un rôle. Dans ce cas, il s'agit ARN du périphérique virtuel que vous avez configuré à l'étape 3.