本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
工具包中的多因素身份驗證(MFA)
多重要素驗證 (MFA) 可為您的帳戶提供額外的 AWS 安全性。MFA 要求使用者在存取 AWS 網站或服務時,透過 AWS 支援的 MFA 機制提供登入認證和唯一驗證。
AWS 支援一系列虛擬裝置和硬體裝置進行 MFA 驗證。以下是透過智慧型手機應用程式啟用的虛擬 MFA 裝置範例。如需 MFA 裝置選項的詳細資訊,請參閱 IAM 使用者指南中 AWS的使用多重要素驗證 (MFA)。
步驟 1:建立 IAM 角色以將存取權委派給 IAM 使用者
下列程序說明如何設定角色分隔以指派權限給 IAM 使用者。如需角色分隔的詳細資訊,請參閱使用指南中的建立角色以將許可委派給 IAM 使用AWS Identity and Access Management 者主題。
-
前往 IAM 主控台,網址為 https://console.aws.amazon.com/iam
。 -
在導覽列中選擇「角色」,然後選擇「建立角色」。
-
在 [建立角色] 頁面中,選擇 [其他 AWS 帳戶]。
-
輸入您所需的帳戶 ID 並標記 [需要 MFA] 核取方塊。
注意
若要尋找您的 12 位數帳號 (ID),請前往主控台的導覽列,然後選擇 [支援]、[Support Sup port 中心]。
-
選擇下一步:許可。
-
將現有原則附加至您的角色,或為其建立新原則。您在此頁面上選擇的政策決定 IAM 使用者可以透過 Toolkit 存取哪些 AWS 服務。
-
附加政策後,請選擇「下一步:標籤」以選擇將 IAM 標籤新增至您的角色。然後選擇「下一步:查看」以繼續。
-
在「複查」頁面中,輸入必要的「角色」名稱 (例如,工具組角色)。您也可以新增選擇性的「角色」描述。
-
選擇建立角色。
-
顯示確認訊息時 (例如「角色工具組-角色已建立」),請在訊息中選擇角色的名稱。
-
在 [摘要] 頁面中,選擇複製圖示以複製角色 ARN 並將其貼到檔案中。設定 IAM 使用者擔任該角色時,您需要此 ARN。)
步驟 2:建立具有角色許可的 IAM 使用者
此步驟會建立沒有許可的 IAM 使用者,以便新增內嵌政策。
-
前往 IAM 主控台,網址為 https://console.aws.amazon.com/iam
。 -
選擇導覽列中的 [使用者],然後選擇 [新增使用者]。
-
在 [新增使用者] 頁面中,輸入必要的使用者名稱 (例如工具組-使用者),並標記 [程式設計存取] 核取方塊。
-
選擇「下一步」:「權限」、「下一步」:「標籤」和「下一步」:「檢閱」可在下一頁中移 您不會在此階段新增權限,因為使用者會承擔角色的權限。
-
在「檢閱」頁面中,系統會通知您此使用者沒有權限。選擇 Create user (建立使用者)。
-
在「成功」頁面中,選擇「下載 .csv」以下載包含存取金鑰 ID 和私密存取金鑰的檔案。(在認證檔案中定義使用者的設定檔時,您需要兩者。)
-
選擇關閉。
步驟 3:新增政策以允許 IAM 使用者擔任該角色
下列程序會建立內嵌原則,以允許使用者擔任角色 (以及該角色的權限)。
-
在 IAM 主控台的「使用者」頁面中,選擇剛建立的 IAM 使用者 (例如,工具組使用者)。
-
在 [摘要] 頁面的 [權限] 索引標籤中,選擇 [新增內嵌原則]。
-
在 [建立原則] 頁面中,選擇 [選擇服務],在 [尋找服務] 中輸入 ST S,然後從結果中選擇 STS。
-
對於 「動作」,開始輸入術語AssumeRole。AssumeRole勾選出現的核取方塊。
-
在「資源」段落中,確定已選取「特定」,然後按一下新增 ARN 以限制存取權。
-
在 [新增 ARN] 對話方塊中,針對 [指定角色的 ARN],新增您在步驟 1 中建立之角色的 ARN。
新增角色的 ARN 之後,與該角色相關聯的受信任帳戶和角色名稱會顯示在具有路徑的帳戶和角色名稱中。
-
選擇新增。
-
返回 [建立原則] 頁面,選擇 [指定要求條件 (選用)],標示 [需要 MFA] 核取方塊,然後選擇 [關閉] 以確認。
-
選擇 Review policy (檢閱政策)
-
在 [檢閱原則] 頁面中,輸入原則的 [名稱],然後選擇 [建立原則]。
「權限」索引標籤會顯示直接附加至 IAM 使用者的新內嵌政策。
步驟 4:為 IAM 使用者管理虛擬 MFA 裝置
-
下載虛擬 MFA 應用程序並將其安裝到您的智能手機。
如需支援的應用程式清單,請參閱多重要素驗證
資源頁面。 -
在 IAM 主控台中,從導覽列選擇 [使用者],然後選擇擔任角色的使用者 (在本例中為工具組使用者)。
-
在 [摘要] 頁面中,選擇 [安全性認證] 索引標籤,然後針對指派的 MFA 裝置選擇管理。
-
在 [管理 MFA 裝置] 窗格中,選擇 [虛擬 MFA 裝置],然後選擇 [繼續]。
-
在 [設定虛擬 MFA 裝置] 窗格中,選擇 [顯示 QR 碼],然後使用智慧型手機上安裝的虛擬 MFA 應用程式掃描代碼。
-
掃描 QR 碼後,虛擬 MFA 應用程式會產生一次性 MFA 碼。在 MFA 代碼 1 和 MFA 代碼 2 中輸入兩個連續的 MFA 代碼。
-
選擇 Assign MFA (指派 MFA)。
-
返回使用者的 [安全認證] 索引標籤中,複製新指派的 MFA 裝置的 ARN。
ARN 包括您的 12 位數帳戶 ID,其格式類似於以下內容:
arn:aws:iam::123456789012:mfa/toolkit-user
在下一個步驟中定義 MFA 設定檔時,您需要此 ARN。
步驟 5:建立設定檔以允許 MFA
下列程序會在從 Visual Studio 的工具組存取 AWS 服務時,建立允許 MFA 的設定檔。
您建立的設定檔包括您在上一個步驟中複製並儲存的三項資訊:
-
IAM 使用者的存取金鑰 (存取金鑰 ID 和秘密存取金鑰)
-
將許可委派給 IAM 使用者的角色 ARN
-
指派給 IAM 使用者的虛擬 MFA 裝置的 ARN
在包含您 AWS 認證的 AWS 共用認證檔案或 SDK 存放區中,新增下列項目:
[toolkit-user] aws_access_key_id = AKIAIOSFODNN7EXAMPLE aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY [mfa] source_profile = toolkit-user role_arn = arn:aws:iam::111111111111:role/toolkit-role mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user
在提供的範例中定義了兩個設定檔:
-
[toolkit-user]
設定檔包括您在步驟 2 中建立 IAM 使用者時產生並儲存的存取金鑰和秘密存取金鑰。 -
[mfa]
設定檔定義支援多重要素驗證的方式。共有三個項目:◦
source_profile
:指定其認證用來擔任此設定檔中此role_arn
設定所指定角色的設定檔。在這種情況下,它是toolkit-user
配置文件。◦
role_arn
:指定您要用來執行使用此設定檔請求之操作的 IAM 角色的 Amazon 資源名稱 (ARN)。在這種情況下,它是您在步驟 1 中建立的角色的 ARN。◦
mfa_serial
:指定使用者擔任角色時必須使用的 MFA 裝置識別碼或序號。在這種情況下,它是您在步驟 3 中設置的虛擬設備的 ARN。