Toolkit for Visual Studio での多要素認証 (MFA) の使用 - AWS Toolkit for Visual Studio

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Toolkit for Visual Studio での多要素認証 (MFA) の使用

Multi-Factor Authentication (MFA) では、セキュリティが強化されます。AWSサポートされている MFA メカニズムは、通常のサインイン認証情報に加えてAWSWeb サイトまたはサービス。

AWSは、MFA 認証用の仮想デバイスとハードウェアデバイスの両方をサポートしています。ここで説明する例は、スマートフォンアプリケーションで有効になっている仮想 MFA デバイスです。MFA デバイスオプションの詳細については、「」を参照してください。での多要素認証 (MFA) の使用AWS()IAM ユーザーガイド

ステップ 1: IAM ユーザーにアクセス権限を委任するための IAM ロールの作成

このタスクはロールの委任IAM ユーザーにアクセス許可を委任します。まず、MFA でサインインする必要がある IAM ロールを定義します。また、特定のアクセス権限を付与するポリシーをロールにアタッチします。AWSのサービス。次に、開始するアクセス権限がない IAM ユーザーを作成します。ただし、そのユーザーには、AssumeRole操作を実行します。この操作は、ロールのすべての権限をユーザーに委任します。

  1. IAM コンソールに移動します。https://console.aws.amazon.com/iam

  2. 選択ロールナビゲーションバーで、[] [] を選択します。ロールの作成

  3. ロールの作成ページで [] を選択します。別のAWSアカウント

  4. 必要なコードを入力します。アカウント ID[] を選択し、[MFA が必要] チェックボックスをオンにします。

    注記

    12 桁のアカウント番号 (ID) を確認するには、本体のナビゲーションバーに移動して、サポート,サポートセンター

  5. [Next: (次へ:)] を選択します アクセス許可.

  6. 既存のポリシーをロールにアタッチするか、新しいポリシーを作成します。このページで選択したポリシーによって、AWSサービスで、IAM ユーザーが Toolkit を使用してアクセスできることを確認します。

  7. ポリシーをアタッチしたら、次へ: タグロールに IAM タグを追加するオプションを参照してください。続いて、[次へ] を選択します。確認[] を選択して続行します

  8. 確認ページで、必要なロール名(ツールキットロールなど)。オプションとしてロールの説明

  9. [Create role] を選択します。

  10. 確認メッセージが表示されたら(「ロールツールキットロール「が作成されました」など)、メッセージ内のロールの名前を選択します。

  11. 概要ページで、[コピー] アイコンを選択してロールの ARNファイルに貼り付けます。(この ARN は、ロールを引き受けるように IAM ユーザーを設定するときに必要です)。

ステップ 2: ロールのアクセス権限を引き受ける IAM ユーザーの作成

このステップでは、まず、権限なしで IAM ユーザーを作成します。次に、前の手順で作成したロール (およびそのロールのアクセス許可) をユーザーに引き受けることを許可するインラインポリシーを作成します。

IAM ユーザーを作成するには

  1. IAM コンソールに移動します。https://console.aws.amazon.com/iam

  2. 選択ユーザーナビゲーションバーで、[] を選択します。ユーザーの追加

  3. ユーザーの追加ページで、必要な[User name](ツールキットユーザーなど) を選択し、プログラムによるアクセス] チェックボックスをオンにします。

  4. [Next: (次へ:)] を選択します アクセス許可,次へ: タグ, および次へ: 確認をクリックして、次のページ間を移動します。ユーザーがロールのアクセス許可を引き受けるため、この段階ではアクセス許可を追加しません。

  5. 確認ページでは、このユーザーには権限がありません。[Create user] を選択します。

  6. 成功ページで [] を選択します。.csv のダウンロードアクセスキー ID とシークレットアクセスキーを含むファイルをダウンロードします。(認証情報ファイルでユーザーのプロファイルを定義する場合は、両方が必要です。)

  7. [Close] を選択します。

IAM ユーザーがロールを引き受けることを許可するポリシーを追加するには

  1. ユーザーIAM コンソールの IAM ユーザーを選択します (ツールキットユーザーなど)。

  2. アクセス許可[] タブの []概要ページで [] を選択します。インラインポリシーの追加

  3. ポリシーの作成ページで [] を選択します。サービスを選択してください[] ページで、STSサービスを検索する[] を選択してから、[STS結果から [] を選択します。

  4. を使用する場合アクション、用語の入力を開始AssumeRole。マークするAssumeRoleチェックボックスを表示します。

  5. リソースセクション特定が選択されていることを確認し、ARN の追加を使用してアクセスを制限します。

  6. ARN の追加[] ダイアログボックスで、[ロールの ARN の指定ステップ 1 で作成したロールの ARN を追加します。

    ロールの ARN を追加すると、そのロールに関連付けられた信頼されたアカウントとロール名がアカウントおよびロール名とパス

  7. [Add] を選択します。

  8. の []ポリシーの作成ページで [] を選択します。リクエスト条件の指定 (省略可能)の [] ページで、MFA が必要] チェックボックスをオンにしてから、[クローズ確認するには..

  9. [ポリシーの確認] を選択します。

  10. Eclipseポリシーの確認ページで、名前ポリシーを選択し、[] を選択します。ポリシーの作成

    -アクセス許可タブには、IAM ユーザーに直接アタッチされた新しいインラインポリシーが表示されます。

ステップ 3: IAM ユーザーの仮想 MFA デバイスの管理

  1. スマートフォンに仮想 MFA アプリケーションをダウンロードしてインストールします。

    サポートされているアプリケーションのリストについては、『多要素認証リソースページです。

  2. IAM コンソールで、[] を選択します。ユーザーを選択し、ロールを引き受けるユーザー (ツールキットユーザーこの場合は)。

  3. 概要[] ページで [] を選択します。セキュリティの認証情報タブ、および割り当てられた MFA デバイス選択する管理

  4. MFA デバイスの管理ペインで [] を選択します。仮想 MFA デバイス[] を選択してから、[続行

  5. 仮想 MFA デバイスの設定ペインで [] を選択します。QRコードを表示し、スマートフォンにインストールした仮想 MFA アプリケーションを使用してコードをスキャンします。

  6. QR コードをスキャンすると、仮想 MFA アプリケーションはワンタイム MFA コードを生成します。連続する 2 つの MFA コードをMFA コード 1およびMFA コード 2

  7. [Assign MFA (MFA の割り当て)] を選択します。

  8. の []セキュリティの認証情報] タブで ARN 新しい割り当てられた MFA デバイス

    ARN には 12 桁のアカウント ID が含まれており、形式は次のようになります。arn:aws:iam::123456789012:mfa/toolkit-user。 この ARN は、次のステップで MFA プロファイルを定義する際に必要になります。

ステップ 4: MFA を許可するプロファイルの作成

この手順では、Toolkit for Visual Studio のユーザーが MFA にアクセスするときに MFA を使用できるようにするプロファイルを作成します。AWSのサービス。

作成したプロファイルには、前の手順でコピーして保存した 3 つの情報が含まれます。

  • IAM ユーザーのアクセスキー (アクセスキー (アクセスキー ID とシークレットアクセスキー)

  • IAM ユーザーに権限を委任するロールの ARN

  • IAM ユーザーに割り当てられている仮想 MFA デバイスの ARN

左AWS共有認証情報ファイルまたは SDK ストアにAWS認証情報で、次のエントリを追加します。

[toolkit-user] aws_access_key_id = AKIAIOSFODNN7EXAMPLE aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY [mfa] source_profile = toolkit-user role_arn = arn:aws:iam::111111111111:role/toolkit-role mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

この例では、次の 2 つのプロファイルが定義されています。

  • [toolkit-user]プロファイルには、ステップ 2 で IAM ユーザーを作成したときに生成および保存されたアクセスキーとシークレットアクセスキーが含まれます。

  • [mfa]プロファイルは、多要素認証のサポート方法を定義します。3 つのエントリがあります。

    source_profile: こので指定されたロールを引き受けるために使用される認証情報を持つプロファイルを指定します。role_arn設定をこのプロファイルで使用します。この場合はtoolkit-userプロファイル。

    role_arn: このプロファイルを使用してリクエストされたオペレーションを実行するために使用する IAM ロールの Amazon リソースネーム (ARN) を指定します。この場合、これは、ステップ 1 で作成したロールの ARN です。

    mfa_serial: ロールを引き受けるときに使用する必要がある MFA デバイスの ID またはシリアル番号を指定します。この場合、ステップ 3 で設定した仮想デバイスの ARN になります。