Autenticação multifator (MFA) no kit de ferramentas para Visual Studio

A autenticação multifator (MFA) é uma segurança adicional para AWS suas contas. O MFA exige que os usuários forneçam credenciais de login e autenticação exclusiva de um mecanismo de AWS MFA compatível ao acessar sites ou serviços. AWS

AWS suporta uma variedade de dispositivos virtuais e de hardware para autenticação de MFA. Veja a seguir um exemplo de um dispositivo MFA virtual habilitado por meio de um aplicativo para smartphone. Para obter mais informações sobre opções de dispositivo MFA, consulte Uso de autenticação multifator (MFA) na AWS no Guia do usuário do IAM.

Etapa 1: criar um perfil do IAM para delegar acesso aos usuários do IAM

O procedimento a seguir descreve como configurar a delegação de perfis para atribuir permissões a um usuário do IAM. Para obter informações detalhadas sobre a delegação de perfis, consulte Criação de uma função para delegar permissões a um usuário do IAM no Guia do usuário do AWS Identity and Access Management .

1. Acesse o console do IAM: https://console.aws.amazon.com/iam.

2. Na barra de navegação, escolha Perfis e selecione Criar perfil.

3. Na página Criar perfil, escolha Outra conta da AWS .

4. Insira o ID da conta necessário e marque a caixa de seleção Exigir MFA.

   nota

   Para encontrar o número da sua conta (ID) de 12 dígitos, acesse a barra de navegação no console e escolha Suporte, Centro de suporte.

5. Selecione Next: Permissions (Próximo: permissões).

6. Anexe políticas existentes ao perfil ou crie uma política para ele. As políticas que você escolhe nesta página determinam quais AWS serviços o usuário do IAM pode acessar com o Toolkit.

7. Depois de anexar as políticas, escolha Próximo: Tags para ter a opção de adicionar tags do IAM ao perfil. Depois escolha Próximo: Revisão para continuar.

8. Na página Revisão, insira o nome do perfil necessário (toolkit-role, por exemplo). Você também tem a opção de adicionar uma descrição do perfil.

9. Selecione Criar função.

10. Quando a mensagem de confirmação for exibida (“O perfil do kit de ferramentas foi criado”, por exemplo), escolha o nome do perfil na mensagem.

11. Na página Resumo, escolha o ícone de cópia para copiar o ARN do perfil e colá-lo em um arquivo. (Você precisa desse ARN ao configurar o usuário do IAM para assumir o perfil.)

Etapa 2: criar um usuário do IAM que assume as permissões do perfil

Esta etapa cria um usuário do IAM sem permissões para que uma política em linha possa ser adicionada.

1. Acesse o console do IAM: https://console.aws.amazon.com/iam.

2. Escolha Usuários na barra de navegação e selecione Adicionar usuário.

3. Na página Adicionar usuário, insira o nome do usuário necessário (toolkit-user, por exemplo) e marque a caixa de seleção Acesso programático.

4. Escolha Próximo: Permissões, Próximo: Tags e Próximo: Revisão para percorrer as próximas páginas. Você não está adicionando permissões neste estágio porque o usuário assumirá as permissões do perfil.

5. Na página Revisão, você recebe a notificação Este usuário não tem permissões. Selecione Criar usuário.

6. Na página Êxito, selecione Baixar .csv para baixar o arquivo contendo o ID da chave de acesso e a chave de acesso secreta. (Você precisa de ambos ao definir o perfil do usuário no arquivo de credenciais.)

7. Escolha Fechar.

Etapa 3: adicionar uma política para permitir que o usuário do IAM assuma o perfil

O procedimento a seguir cria uma política em linha que permite que o usuário assuma o perfil (e as respectivas permissões).

1. Na página Usuários do console do IAM, escolha o usuário do IAM que você acabou de criar (toolkit-user, por exemplo).

2. Na guia Permissões, na página Permissões, escolha Adicionar política em linha.

3. Na página Criar política, selecione Escolher um serviço, insira STS em Encontrar um serviço e escolha STS nos resultados.

4. Para Ações, comece a inserir o termo AssumeRole. Marque a AssumeRolecaixa de seleção quando ela aparecer.

5. Na seção Recurso, verifique se a opção Específico está selecionada e clique em Adicionar ARN para restringir o acesso.

6. Na caixa de diálogo Adicionar ARNs, para Especificar ARN para o perfil, adicione o ARN do perfil que você criou na Etapa 1.

   Depois de adicionar o ARN do perfil, a conta confiável e o nome do perfil associados a esse perfil são exibidos em Conta e Nome do perfil com caminho.

7. Escolha Adicionar.

8. De volta à página Criar política, escolha Especificar condições de solicitação (opcional), marque a caixa de seleção MFA necessária e selecione Fechar para confirmar.

9. Escolha Review policy (Revisar política)

10. Na página Revisar política, insira um Nome para a política e escolha Criar política.

    A guia Permissões exibe a nova política em linha anexada diretamente ao usuário do IAM.

Etapa 4: gerenciar um dispositivo MFA virtual para o usuário do IAM

1. Baixe e instale um aplicativo MFA virtual no smartphone.

   Para obter uma lista de aplicativos compatíveis, consulte a página de recursos Autenticação multifator.

2. No console do IAM, escolha Usuários na barra de navegação e selecione o usuário que está assumindo um perfil (toolkit-user, nesse caso).

3. Na página Resumo, escolha a guia Credenciais de segurança e, em Dispositivo MFA atribuído, escolha Gerenciar.

4. No assistente Gerenciar dispositivo MFA, escolha Dispositivo MFA virtual e selecione Continuar.

5. No painel Configurar dispositivo MFA virtual, escolha Mostrar código QR e digitalize o código usando o aplicativo MFA virtual que você instalou no smartphone.

6. Depois de digitalizar o código QR, o aplicativo MFA virtual gera códigos de MFA únicos. Insira dois códigos de MFA consecutivos em Código MFA 1 e Código MFA 2.

7. Escolha Assign MFA.

8. De volta à guia Credenciais de segurança do usuário, copie o ARN do novo Dispositivo MFA atribuído.

   O ARN inclui o ID da sua conta de 12 dígitos e o formato é semelhante ao seguinte: arn:aws:iam::123456789012:mfa/toolkit-user. Esse ARN será necessário ao definir o perfil de MFA na próxima etapa.

Etapa 5: criar perfis para permitir a MFA

O procedimento a seguir cria os perfis que permitem o MFA ao acessar AWS serviços do Toolkit for Visual Studio.

Os perfis que você cria incluem três informações que você copiou e armazenou nas etapas anteriores:

• Chaves de acesso (ID de chave de acesso e chave de acesso secreta) para o usuário do IAM

• ARN do perfil que está delegando permissões ao usuário do IAM

• ARN do dispositivo MFA virtual atribuído ao usuário do IAM

No arquivo de credencial AWS compartilhado ou no SDK Store que contém suas AWS credenciais, adicione as seguintes entradas:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

Há dois perfis definidos no exemplo fornecido:

• O perfil [toolkit-user] inclui a chave de acesso e a chave de acesso secreta que foram geradas e salvas quando você criou o usuário do IAM na Etapa 2.

• O perfil [mfa] define como a autenticação multifator é aceita. Existem três entradas:

  ◦ source_profile: especifica o perfil cujas credenciais são usadas para assumir o perfil especificado por essa configuração role_arn nesse perfil. Neste caso, é o perfil toolkit-user.

  ◦ role_arn: especifica o nome do recurso da Amazon (ARN) do perfil do IAM que você deseja usar para realizar as operações solicitadas usando esse perfil. Neste caso, é o ARN do perfil que você criou na Etapa 1.

  ◦ mfa_serial: especifica a identificação ou o número de série do dispositivo MFA que o usuário deve usar ao assumir um perfil. Neste caso, é o ARN do dispositivo virtual que você configurou na Etapa 3.