Otentikasi multi-faktor (MFA) di Toolkit for Visual Studio - AWS Toolkit dengan Amazon Q
Langkah 1: Membuat peran IAM untuk mendelegasikan akses ke pengguna IAMLangkah 2: Membuat pengguna IAM yang mengasumsikan izin peranLangkah 3: Menambahkan kebijakan untuk memungkinkan pengguna IAM mengambil peranLangkah 4: Mengelola perangkat MFA virtual untuk pengguna IAMLangkah 5: Membuat profil untuk memungkinkan MFA

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi multi-faktor (MFA) di Toolkit for Visual Studio

Otentikasi multi-faktor (MFA) adalah keamanan tambahan untuk akun Anda. AWS MFA mengharuskan pengguna untuk memberikan kredensi masuk dan otentikasi unik dari mekanisme MFA yang AWS didukung saat mengakses situs web atau layanan. AWS

AWS mendukung berbagai perangkat virtual dan perangkat keras untuk otentikasi MFA. Berikut ini adalah contoh perangkat MFA virtual yang diaktifkan melalui aplikasi smartphone. Untuk informasi selengkapnya tentang opsi perangkat MFA, lihat Menggunakan otentikasi multi-faktor (MFA) AWS di Panduan Pengguna IAM.

Langkah 1: Membuat peran IAM untuk mendelegasikan akses ke pengguna IAM

Prosedur berikut menjelaskan cara mengatur deligasi peran untuk menetapkan izin ke pengguna IAM. Untuk informasi rinci tentang deligasi peran, lihat Membuat peran untuk mendelegasikan izin ke topik pengguna IAM di Panduan Pengguna.AWS Identity and Access Management

  1. Buka konsol IAM di https://console.aws.amazon.com/iam.

  2. Pilih Peran di bilah navigasi, lalu pilih Buat Peran.

  3. Di halaman Buat peran, pilih AWS Akun lain.

  4. Masukkan ID Akun yang Anda butuhkan dan tandai kotak centang Memerlukan MFA.

    catatan

    Untuk menemukan 12 digit nomor akun (ID) Anda, buka bilah navigasi di konsol, lalu pilih Support, Support Center.

  5. Pilih Berikutnya: Izin.

  6. Lampirkan kebijakan yang ada ke peran Anda atau buat kebijakan baru untuknya. Kebijakan yang Anda pilih di halaman ini menentukan AWS layanan mana yang dapat diakses pengguna IAM dengan Toolkit.

  7. Setelah melampirkan kebijakan, pilih Berikutnya: Tag untuk opsi menambahkan tag IAM ke peran Anda. Kemudian pilih Berikutnya: Tinjau untuk melanjutkan.

  8. Di halaman Tinjauan, masukkan nama Peran yang diperlukan (toolkit-role, misalnya). Anda juga dapat menambahkan deskripsi Peran opsional.

  9. Pilih Buat peran.

  10. Ketika pesan konfirmasi ditampilkan (“Peran toolkit-peran telah dibuat”, misalnya), pilih nama peran dalam pesan.

  11. Di halaman Ringkasan, pilih ikon salin untuk menyalin ARN Peran dan tempelkan ke dalam file. (Anda memerlukan ARN ini saat mengonfigurasi pengguna IAM untuk mengambil peran.).

Langkah 2: Membuat pengguna IAM yang mengasumsikan izin peran

Langkah ini membuat pengguna IAM tanpa izin sehingga kebijakan in-line dapat ditambahkan.

  1. Buka konsol IAM di https://console.aws.amazon.com/iam.

  2. Pilih Pengguna di bilah navigasi dan kemudian pilih Tambah pengguna.

  3. Di halaman Tambah pengguna, masukkan nama pengguna yang diperlukan (toolkit-user, misalnya) dan tandai kotak centang Akses program.

  4. Pilih Berikutnya: Izin, Berikutnya: Tag, dan Berikutnya: Tinjau untuk bergerak melalui halaman berikutnya. Anda tidak menambahkan izin pada tahap ini karena pengguna akan mengambil izin peran.

  5. Di halaman Tinjauan, Anda diberi tahu bahwa Pengguna ini tidak memiliki izin. Pilih Create user (Buat pengguna).

  6. Di halaman Sukses, pilih Unduh.csv untuk mengunduh file yang berisi ID kunci akses dan kunci akses rahasia. (Anda memerlukan keduanya saat menentukan profil pengguna di file kredensyal.)

  7. Pilih Tutup.

Langkah 3: Menambahkan kebijakan untuk memungkinkan pengguna IAM mengambil peran

Prosedur berikut membuat kebijakan in-line yang memungkinkan pengguna untuk mengambil peran (dan izin peran tersebut).

  1. Di halaman Pengguna konsol IAM, pilih pengguna IAM yang baru saja Anda buat (toolkit-user, misalnya).

  2. Di tab Izin pada halaman Ringkasan, pilih Tambahkan kebijakan sebaris.

  3. Di halaman Buat kebijakan, pilih Pilih layanan, masukkan STS di Temukan layanan, lalu pilih STS dari hasilnya.

  4. Untuk Tindakan, mulailah memasukkan istilah AssumeRole. Tandai kotak AssumeRolecentang saat muncul.

  5. Di bagian Sumber Daya, pastikan Spesifik dipilih, dan klik Tambahkan ARN untuk membatasi akses.

  6. Dalam Tambahkan ARN kotak dialog, untuk Tentukan ARN untuk peran tambahkan ARN dari peran yang Anda buat di Langkah 1.

    Setelah Anda menambahkan ARN peran, akun tepercaya dan nama peran yang terkait dengan peran tersebut akan ditampilkan di Akun dan nama Peran dengan jalur.

  7. Pilih Tambahkan.

  8. Kembali ke halaman Buat kebijakan, pilih Tentukan kondisi permintaan (opsional), tandai kotak centang MFA wajib, lalu pilih dekat untuk mengonfirmasi..

  9. Pilih Tinjau kebijakan

  10. Di halaman Kebijakan tinjauan, masukkan Nama untuk kebijakan, lalu pilih Buat kebijakan.

    Tab Izin menampilkan kebijakan inline baru yang dilampirkan langsung ke pengguna IAM.

Langkah 4: Mengelola perangkat MFA virtual untuk pengguna IAM

  1. Unduh dan instal aplikasi MFA virtual ke ponsel cerdas Anda.

    Untuk daftar aplikasi yang didukung, lihat halaman sumber daya Otentikasi Multi-faktor.

  2. Di konsol IAM, pilih Pengguna dari bilah navigasi dan kemudian pilih pengguna yang mengambil peran (toolkit-user, dalam hal ini).

  3. Di halaman Ringkasan, pilih tab Security credentials, dan untuk perangkat MFA yang Ditugaskan pilih Kelola.

  4. Di panel Kelola perangkat MFA, pilih Perangkat MFA virtual, lalu pilih Lanjutkan.

  5. Di panel Siapkan perangkat MFA virtual, pilih Tampilkan kode QR dan kemudian pindai kode menggunakan aplikasi MFA virtual yang Anda instal di ponsel cerdas Anda.

  6. Setelah Anda memindai kode QR, aplikasi MFA virtual menghasilkan kode MFA satu kali. Masukkan dua kode MFA berturut-turut dalam kode MFA 1 dan kode MFA 2.

  7. Pilih Tugaskan MFA.

  8. Kembali ke tab Security credentials untuk pengguna, salin ARN dari perangkat MFA yang Ditugaskan baru.

    ARN menyertakan ID akun 12 digit Anda dan formatnya mirip dengan yang berikut:. arn:aws:iam::123456789012:mfa/toolkit-user Anda memerlukan ARN ini saat mendefinisikan profil MFA di langkah berikutnya.

Langkah 5: Membuat profil untuk memungkinkan MFA

Prosedur berikut membuat profil yang memungkinkan MFA saat mengakses AWS layanan dari Toolkit for Visual Studio.

Profil yang Anda buat mencakup tiga bagian informasi yang telah Anda salin dan simpan selama langkah-langkah sebelumnya:

  • Kunci akses (ID kunci akses dan kunci akses rahasia) untuk pengguna IAM

  • ARN dari peran yang mendelegasikan izin ke pengguna IAM

  • ARN dari perangkat MFA virtual yang ditetapkan untuk pengguna IAM

Di file kredenal AWS bersama atau SDK Store yang berisi AWS kredensi Anda, tambahkan entri berikut:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

Ada dua profil yang didefinisikan dalam contoh yang diberikan:

  • [toolkit-user]profil termasuk kunci akses dan kunci akses rahasia yang dihasilkan dan disimpan saat Anda membuat pengguna IAM di Langkah 2.

  • [mfa]profil mendefinisikan bagaimana otentikasi multi-faktor didukung. Ada tiga entri:

    source_profile: Menentukan profil yang kredensialnya digunakan untuk mengambil peran yang ditentukan oleh role_arn pengaturan ini dalam profil ini. Dalam hal ini, itu adalah toolkit-user profil.

    role_arn: Menentukan Nama Sumber Daya Amazon (ARN) dari peran IAM yang ingin Anda gunakan untuk melakukan operasi yang diminta menggunakan profil ini. Dalam hal ini, ini adalah ARN untuk peran yang Anda buat di Langkah 1.

    mfa_serial: Menentukan identifikasi atau nomor seri perangkat MFA yang harus digunakan pengguna saat mengambil peran. Dalam hal ini, itu adalah ARN dari perangkat virtual yang Anda atur di Langkah 3.