Autenticazione a più fattori (MFA) in Toolkit for Visual Studio - AWS Toolkit con Amazon Q
Fase 1: creazione di un ruolo IAM per delegare l'accesso agli utenti IAMPassaggio 2: creazione di un utente IAM che assuma le autorizzazioni del ruoloFase 3: Aggiungere una policy per consentire all'utente IAM di assumere il ruoloFase 4: Gestione di un dispositivo MFA virtuale per l'utente IAMFase 5: Creazione di profili per consentire l'autenticazione a più fattori

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione a più fattori (MFA) in Toolkit for Visual Studio

L'autenticazione a più fattori (MFA) è una sicurezza aggiuntiva per AWS i tuoi account. La MFA richiede agli utenti di fornire credenziali di accesso e autenticazione univoca da un meccanismo AWS MFA supportato quando accedono a siti Web o servizi. AWS

AWS supporta una gamma di dispositivi virtuali e hardware per l'autenticazione MFA. Di seguito è riportato un esempio di dispositivo MFA virtuale abilitato tramite un'applicazione per smartphone. Per ulteriori informazioni sulle opzioni dei dispositivi MFA, consulta Using Multi-Factor Authentication (MFA) AWS nella IAM User Guide.

Fase 1: creazione di un ruolo IAM per delegare l'accesso agli utenti IAM

La procedura seguente descrive come impostare la delegazione dei ruoli per l'assegnazione delle autorizzazioni a un utente IAM. Per informazioni dettagliate sulla delega dei ruoli, consulta l'argomento Creazione di un ruolo per delegare le autorizzazioni a un utente IAM nella Guida per l'utente.AWS Identity and Access Management

  1. Vai alla console IAM all'indirizzo https://console.aws.amazon.com/iam.

  2. Scegli Ruoli nella barra di navigazione, quindi scegli Crea ruolo.

  3. Nella pagina Crea ruolo, scegli Altro AWS account.

  4. Inserisci l'ID account richiesto e contrassegna la casella di controllo Richiedi MFA.

    Nota

    Per trovare il tuo numero di account (ID) a 12 cifre, vai alla barra di navigazione nella console, quindi scegli Support, Support Center.

  5. Scegli Successivo: autorizzazioni.

  6. Associa le politiche esistenti al tuo ruolo o creane una nuova. Le policy scelte in questa pagina determinano a quali AWS servizi l'utente IAM può accedere con il Toolkit.

  7. Dopo aver associato le politiche, scegli Avanti: Tag per l'opzione di aggiungere tag IAM al tuo ruolo. Quindi scegli Avanti: Revisione per continuare.

  8. Nella pagina Revisione, inserisci il nome del ruolo richiesto (toolkit-role, ad esempio). Puoi anche aggiungere una descrizione del ruolo facoltativa.

  9. Scegli Crea ruolo.

  10. Quando viene visualizzato il messaggio di conferma («The role toolkit-role has been created», ad esempio), scegli il nome del ruolo nel messaggio.

  11. Nella pagina Riepilogo, scegliete l'icona di copia per copiare l'ARN del ruolo e incollarlo in un file. (È necessario questo ARN per configurare l'utente IAM per assumere il ruolo.).

Passaggio 2: creazione di un utente IAM che assuma le autorizzazioni del ruolo

Questo passaggio crea un utente IAM senza autorizzazioni in modo da poter aggiungere una policy in linea.

  1. Vai alla console IAM all'indirizzo https://console.aws.amazon.com/iam.

  2. Scegli Utenti nella barra di navigazione, quindi scegli Aggiungi utente.

  3. Nella pagina Aggiungi utente, inserisci un nome utente richiesto (toolkit-user, ad esempio) e seleziona la casella di controllo Accesso programmatico.

  4. Scegliete Avanti: Autorizzazioni, Avanti: Tag e Avanti: Revisione per passare alle pagine successive. Non stai aggiungendo autorizzazioni in questa fase perché l'utente assumerà le autorizzazioni del ruolo.

  5. Nella pagina di revisione, vieni informato che Questo utente non dispone di autorizzazioni. Selezionare Create user (Crea utente).

  6. Nella pagina Operazione completata, scegli Scarica .csv per scaricare il file contenente l'ID della chiave di accesso e la chiave di accesso segreta. (Sono necessari entrambi per definire il profilo dell'utente nel file delle credenziali).

  7. Scegli Chiudi.

Fase 3: Aggiungere una policy per consentire all'utente IAM di assumere il ruolo

La procedura seguente crea una policy in linea che consente all'utente di assumere il ruolo (e le autorizzazioni di quel ruolo).

  1. Nella pagina Utenti della console IAM, scegli l'utente IAM che hai appena creato (toolkit-user, ad esempio).

  2. Nella scheda Autorizzazioni della pagina di riepilogo, scegli Aggiungi politica in linea.

  3. Nella pagina Crea politica, scegli Scegli un servizio, inserisci STS in Trova un servizio, quindi scegli STS dai risultati.

  4. Per Azioni, inizia a inserire il termine AssumeRole. Contrassegna la AssumeRolecasella di controllo quando viene visualizzata.

  5. Nella sezione Risorsa, assicurati che sia selezionato Specifico e fai clic su Aggiungi ARN per limitare l'accesso.

  6. Nella finestra di dialogo Aggiungi ARN, per Specificare ARN per ruolo aggiungere l'ARN del ruolo creato nel passaggio 1.

    Dopo aver aggiunto l'ARN del ruolo, l'account attendibile e il nome del ruolo associati a quel ruolo vengono visualizzati in Account e Nome ruolo con percorso.

  7. Scegli Aggiungi.

  8. Tornando alla pagina Crea policy, scegli Specificare le condizioni di richiesta (opzionale), contrassegna la casella di controllo MFA obbligatoria, quindi scegli Chiudi per confermare.

  9. Scegli Review policy (Esamina policy).

  10. Nella pagina Revisione della politica, inserisci un nome per la politica, quindi scegli Crea politica.

    La scheda Autorizzazioni mostra la nuova politica in linea allegata direttamente all'utente IAM.

Fase 4: Gestione di un dispositivo MFA virtuale per l'utente IAM

  1. Scarica e installa un'applicazione MFA virtuale sul tuo smartphone.

    Per un elenco delle applicazioni supportate, consulta la pagina delle risorse sull'autenticazione a più fattori.

  2. Nella console IAM, scegli Utenti dalla barra di navigazione, quindi scegli l'utente che assume un ruolo (toolkit-user, in questo caso).

  3. Nella pagina Riepilogo, scegli la scheda Credenziali di sicurezza e per Dispositivo MFA assegnato scegli Gestisci.

  4. Nel riquadro Gestisci dispositivo MFA, scegli Dispositivo MFA virtuale, quindi scegli Continua.

  5. Nel riquadro Configura dispositivo MFA virtuale, scegli Mostra codice QR, quindi scansiona il codice utilizzando l'applicazione MFA virtuale installata sullo smartphone.

  6. Dopo aver scansionato il codice QR, l'applicazione MFA virtuale genera codici MFA monouso. Inserisci due codici MFA consecutivi nel codice MFA 1 e nel codice MFA 2.

  7. Scegliere Assign MFA (Assegna MFA).

  8. Tornando alla scheda Credenziali di sicurezza per l'utente, copia l'ARN del nuovo dispositivo MFA assegnato.

    L'ARN include l'ID dell'account a 12 cifre e il formato è simile al seguente:. arn:aws:iam::123456789012:mfa/toolkit-user Questo ARN è necessario per definire il profilo MFA nel passaggio successivo.

Fase 5: Creazione di profili per consentire l'autenticazione a più fattori

La procedura seguente crea i profili che consentono l'autenticazione a più fattori quando si accede ai AWS servizi dal Toolkit for Visual Studio.

I profili che crei includono tre informazioni che hai copiato e archiviato durante i passaggi precedenti:

  • Chiavi di accesso (ID della chiave di accesso e chiave di accesso segreta) per l'utente IAM

  • ARN del ruolo che delega le autorizzazioni all'utente IAM

  • ARN del dispositivo MFA virtuale assegnato all'utente IAM

Nel file di credenziali AWS condiviso o nell'SDK Store che contiene AWS le tue credenziali, aggiungi le seguenti voci:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

Nell'esempio fornito sono definiti due profili:

  • [toolkit-user]il profilo include la chiave di accesso e la chiave di accesso segreta che sono state generate e salvate quando hai creato l'utente IAM nella fase 2.

  • [mfa]profile definisce in che modo è supportata l'autenticazione a più fattori. Sono disponibili tre voci:

    source_profile: specifica il profilo le cui credenziali vengono utilizzate per assumere il ruolo specificato da questa role_arn impostazione in questo profilo. In questo caso, è il toolkit-user profilo.

    role_arn: specifica l'Amazon Resource Name (ARN) del ruolo IAM che desideri utilizzare per eseguire le operazioni richieste utilizzando questo profilo. In questo caso, è l'ARN per il ruolo creato nella Fase 1.

    mfa_serial: specifica l'identificazione o il numero di serie del dispositivo MFA che l'utente deve utilizzare quando assume un ruolo. In questo caso, è l'ARN del dispositivo virtuale configurato nel passaggio 3.