Visual Studio 的 Toolkit 中的多因素身份验证 (MFA) - AWS 带有 Amazon Q 的工具包
步骤 1:创建IAM角色以向IAM用户委派访问权限步骤 2:创建担任该角色权限的IAM用户步骤 3:添加允许IAM用户代入角色的策略步骤 4:为IAM用户管理虚拟MFA设备步骤 5:创建配置文件以允许 MFA

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Visual Studio 的 Toolkit 中的多因素身份验证 (MFA)

多重身份验证 (MFA) 为您的 AWS 账户提供了额外的安全性。MFA要求用户在访问 AWS 网站或服务时提供登录凭证和来自 AWS 支持MFA机制的唯一身份验证。

AWS 支持一系列虚拟和硬件设备进行MFA身份验证。以下是通过智能手机应用程序启用的虚拟MFA设备的示例。有关MFA设备选项的更多信息,请参阅《IAM用户指南》 AWS中的使用多重身份验证 (MFA)

步骤 1:创建IAM角色以向IAM用户委派访问权限

以下过程介绍如何设置角色分配,以便为IAM用户分配权限。有关角色分级的详细信息,请参阅《用户指南》中的 “创建角色向IAM用户委派权限”AWS Identity and Access Management 主题。

  1. 访问IAM控制台,网址为 https://console.aws.amazon.com/iam

  2. 在导航栏中选择角色,然后选择创建角色

  3. 创建角色页面中,选择另一个 AWS 账户

  4. 输入所需的账户 ID 并选中 “需要” MFA 复选框。

    注意

    要查找您的 12 位账号(ID),请在控制台顶部的导航栏上,选择支持,然后选择支持中心

  5. 选择下一步: 权限

  6. 将现有策略附加到角色或为其创建新策略。您在此页面上选择的策略决定了IAM用户可以通过 Toolkit 访问哪些 AWS 服务。

  7. 附加策略后,选择 “下一步:标签”,以便为角色添加IAM标签。然后,选择下一步:审核以继续。

  8. 审核页面中,输入所需的角色名称(例如 toolkit-role)。您也可以添加可选的角色描述

  9. 选择 创建角色

  10. 当显示确认消息(例如“角色 toolkit-role 已创建”)时,请在消息中选择该角色的名称。

  11. 在 “摘要” 页面中,选择复制图标以复制角色ARN并将其粘贴到文件中。(ARN在配置IAM用户担任角色时需要此项。)。

步骤 2:创建担任该角色权限的IAM用户

此步骤将创建一个没有权限的IAM用户,以便可以添加内联策略。

  1. 访问IAM控制台,网址为 https://console.aws.amazon.com/iam

  2. 在导航栏中,选择用户,然后选择添加用户

  3. 添加用户页面中,输入所需的用户名(例如 toolkit-user),然后选中编程访问复选框。

  4. 选择下一步:权限下一步:标签下一步:审核,进行翻页。您不必在此阶段添加权限,因为用户将代入通过角色委派的权限。

  5. 审核页面中,您会被告知此用户没有权限。选择 创建用户

  6. 成功页面中,选择下载.csv 以下载包含访问密钥 ID 和秘密访问密钥的文件。(在凭证文件中定义用户的配置文件时,您将需要这两个信息。)

  7. 选择关闭

步骤 3:添加允许IAM用户代入角色的策略

以下过程将创建一个内联策略,允许用户代入角色(以及该角色的权限)。

  1. 在IAM控制台的 “用户” 页面中,选择您刚刚创建的IAM用户(例如 toolkit-user)。

  2. 摘要页面的权限选项卡上,选择添加内联策略

  3. 在 “创建策略” 页中,选择 “选择服务”,STS在 “查找服务” 中输入,然后STS从结果中进行选择。

  4. “操作” 中,开始输入术语AssumeRole。当AssumeRole复选框出现时,将其选中。

  5. 在 “资源” 部分中,确保选中 “定”,然后单击 “添加” ARN 以限制访问权限。

  6. 在 “添加 ARN” 对话框中,在 “ARN为角色指定” 中ARN,添加您在步骤 1 中创建的角色。

    添加角色后ARN,与该角色关联的可信账户和角色名称将显示在带有路径的账户和角色名称中。

  7. 选择添加

  8. 返回创建策略页面,选择指定请求条件(可选),选中MFA所需的复选框,然后选择关闭进行确认。

  9. 选择查看策略

  10. 查看策略页面中,为策略输入名称,然后选择创建策略

    权限” 选项卡显示直接附加到IAM用户的新内联策略。

步骤 4:为IAM用户管理虚拟MFA设备

  1. 下载虚拟MFA应用程序并将其安装到您的智能手机。

    有关支持的应用程序列表,请参阅多重身份验证资源页面。

  2. 在IAM控制台中,从导航栏中选择 “用户”,然后选择担任角色的用户(在本例中为 toolkit-user)。

  3. 在 “摘要” 页面中,选择 “安全凭证” 选项卡,然后在 “分配的MFA设备” 中选择 “管理”。

  4. 在 “管理MFA设备” 窗格中,选择 “虚拟MFA设备”,然后选择 “继续”。

  5. 在 “设置虚拟MFA设备” 窗格中,选择 “显示二维码”,然后使用安装在智能手机上的虚拟MFA应用程序扫描二维码。

  6. 扫描二维码后,虚拟MFA应用程序会生成一次性MFA代码。在代码 1 和MFA代码 2 中MFA连续输入两个MFA代码

  7. 选择 Assign (分配)MFA

  8. 返回用户的 “安全凭证” 选项卡,ARN复制新分配MFA设备的。

    ARN包括您的 12 位数账户 ID,格式类似于以下内容:arn:aws:iam::123456789012:mfa/toolkit-user。在下一步中定义MFA配置文件ARN时,您需要使用此选项。

步骤 5:创建配置文件以允许 MFA

以下过程创建了从 Visual Studio 的 Toolkit for Visual Studio 访问 AWS 服务MFA时所允许的配置文件。

您创建的配置文件包括您在前面的步骤中复制和存储的三条信息:

  • IAM用户的访问密钥(访问密钥 ID 和私有访问密钥)

  • ARN向用户委派权限的角色中 IAM

  • ARN分配给IAM用户的虚拟MFA设备

在包含您的 AWS 证书的 AWS 共享凭证文件或SDK存储中,添加以下条目:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

提供的示例中定义了两个配置文件:

  • [toolkit-user]profile 包括您在步骤 2 中创建IAM用户时生成和保存的访问密钥和私有访问密钥。

  • [mfa] 配置文件定义了如何支持多因素身份验证。该配置文件有三个条目:

    source_profile:指定配置文件,将使用其凭证代入此配置文件中的 role_arn 设置所指定的角色。在本例中,该条目为 toolkit-user 配置文件。

    role_arn:指定要用于执行使用此配置文件请求的操作的IAM角色的 Amazon 资源名称 (ARN)。在本例中,它ARN适用于您在步骤 1 中创建的角色。

    mfa_serial:指定用户在担任角色时必须使用的MFA设备的标识号或序列号。在本例中ARN,它是您在步骤 3 中设置的虚拟设备。