本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
工具包中的多因素身份驗證(MFA)
多重要素驗證 (MFA) 可為您的 AWS 帳戶提供額外的安全性。MFA要求使用者在存取 AWS 網站或服務時,透過 AWS 受支援的MFA機制提供登入認證和唯一驗證。
AWS 支持一系列虛擬和硬件設備進行MFA身份驗證。以下是透過智慧型手機應用程式啟用的虛擬MFA裝置範例。如需有關MFA裝置選項的詳細資訊,請參閱《使用指南》中 AWS的〈使用多重要素驗證 (MFA)〉。IAM
步驟 1:建立IAM角色以將存取權委派給IAM使用者
下列程序說明如何設定角色分隔以指派權限給IAM使用者。有關角色分隔的詳細資訊,請參閱《IAM使用者指南》中的〈建立角色以委派權限給使AWS Identity and Access Management 用者〉主題。
-
前往 https://console.aws.amazon.com/iam
的IAM主控台。 -
在導覽列中選擇「角色」,然後選擇「建立角色」。
-
在 [建立角色] 頁面中,選擇 [其他 AWS 帳戶]。
-
輸入您所需的帳戶 ID,然後標記 [需要] MFA 核取方塊。
注意
若要尋找您的 12 位數帳號 (ID),請前往主控台的導覽列,然後選擇 [支援]、[Support Sup port 中心]。
-
選擇下一步:許可。
-
將現有原則附加至您的角色,或為其建立新原則。您在此頁面上選擇的策略會決定IAM使用者可以透過 Toolkit 存取哪些 AWS 服務。
-
附加原則後,請選擇「下一步:標籤」以選擇將IAM標籤新增至角色。然後選擇「下一步:查看」以繼續。
-
在「複查」頁面中,輸入必要的「角色」名稱 (例如,工具組角色)。您也可以新增選擇性的「角色」描述。
-
選擇建立角色。
-
顯示確認訊息時 (例如「角色工具組-角色已建立」),請在訊息中選擇角色的名稱。
-
在 [摘要] 頁面中,選擇複製圖示以複製角色ARN並將其貼到檔案中。(配置IAM用戶承擔該角色ARN時,您需要此功能。)。
步驟 2:建立具有角色權限的IAM使用者
此步驟會建立沒有權限的IAM使用者,以便新增內嵌原則。
-
前往 https://console.aws.amazon.com/iam
的IAM主控台。 -
選擇導覽列中的 [使用者],然後選擇 [新增使用者]。
-
在 [新增使用者] 頁面中,輸入必要的使用者名稱 (例如工具組-使用者),並標記 [程式設計存取] 核取方塊。
-
選擇「下一步」:「權限」、「下一步」:「標籤」和「下一步」:「檢閱」可在下一頁中移 您不會在此階段新增權限,因為使用者會承擔角色的權限。
-
在「檢閱」頁面中,系統會通知您此使用者沒有權限。選擇 Create user (建立使用者)。
-
在「成功」頁面中,選擇「下載 .csv」以下載包含存取金鑰 ID 和私密存取金鑰的檔案。(在認證檔案中定義使用者的設定檔時,您需要兩者。)
-
選擇關閉。
步驟 3:新增政策以允許使IAM用者擔任角色
下列程序會建立內嵌原則,以允許使用者擔任角色 (以及該角色的權限)。
-
在IAM主控台的 [使用者] 頁面中,選擇您剛建立的IAM使用者 (例如工具組-使用者)。
-
在 [摘要] 頁面的 [權限] 索引標籤中,選擇 [新增內嵌原則]。
-
在 [建立原則] 頁面中,選擇 [選擇服務],輸STS入 [尋找服務],然後STS從結果中選擇。
-
對於 「動作」,開始輸入術語AssumeRole。AssumeRole勾選出現的核取方塊。
-
在「資源」段落中,確定已選取「特定」,然後按一下「新增」ARN 以限制存取。
-
在 [新增 ARN] 對話方塊中,對於 [指定ARN角色],新增您在步驟 1 中建立ARN的角色。
新增角色之後ARN,與該角色相關聯的受信任帳戶和角色名稱會顯示在具有路徑的帳戶和角色名稱中。
-
選擇新增。
-
返回 [建立原則] 頁面,選擇 [指定要求條件 (選用)],標記MFA必要的核取方塊,然後選擇 [關閉] 以確認。
-
選擇 Review policy (檢閱政策)
-
在 [檢閱原則] 頁面中,輸入原則的 [名稱],然後選擇 [建立原則]。
[權限] 索引標籤會顯示直接附加至IAM使用者的新內嵌原則。
步驟 4:為IAM使用者管理虛擬MFA裝置
-
下載虛擬MFA應用程序並將其安裝到您的智能手機。
如需支援的應用程式清單,請參閱多重要素驗證
資源頁面。 -
在IAM主控台中,從導覽列選擇「使用者」,然後選擇擔任角色的使用者 (在本例中為 toolkit-user)。
-
在「摘要」頁面中,選擇「安全認證」標籤,然後針對「指派的MFA裝置」選擇「管理」
-
在 [管理MFA裝置] 窗格中,選擇 [虛擬MFA裝置],然後選擇 [繼續]。
-
在「設定虛擬裝MFA置」窗格中,選擇「顯示 QR 碼」,然後使用安裝在智慧型手機上的虛擬MFA應用程式掃描代碼。
-
掃描 QR 碼後,虛擬MFA應用程序會生成一次性MFA代碼。在字碼 1 和字MFA碼 2 中MFA輸入兩個連續的代MFA碼。
-
選擇 AssignMFA (指派)。
-
返回用戶的安全憑據選項卡,複製新分配MFA設備ARN的。
ARN包括您的 12 位數帳戶 ID,其格式類似於以下內容:
arn:aws:iam::123456789012:mfa/toolkit-user
在下一個步驟中定義MFA輪廓ARN時,您需要這樣做。
步驟 5:建立設定檔以允許 MFA
下列程序會建立從 Visual Studio 的工具組存取 AWS 服務MFA時允許的設定檔。
您建立的設定檔包括您在上一個步驟中複製並儲存的三項資訊:
-
IAM使用者的存取金鑰 (存取金鑰 ID 和秘密存取金鑰)
-
ARN將權限委派給使用者的角色 IAM
-
ARN指派給IAM使用者的虛擬MFA裝置
在包含您 AWS 認證的 AWS 共用認證檔案或SDK存放區中,新增下列項目:
[toolkit-user] aws_access_key_id = AKIAIOSFODNN7EXAMPLE aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY [mfa] source_profile = toolkit-user role_arn = arn:aws:iam::111111111111:role/toolkit-role mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user
在提供的範例中定義了兩個設定檔:
-
[toolkit-user]
設定檔包括您在步驟 2 中建立IAM使用者時所產生並儲存的存取金鑰和密碼存取金鑰。 -
[mfa]
設定檔定義支援多重要素驗證的方式。共有三個項目:◦
source_profile
:指定其認證用來擔任此設定檔中此role_arn
設定所指定角色的設定檔。在這種情況下,它是toolkit-user
配置文件。◦
role_arn
:指定您要用來執行使用此設定檔請求之操作之IAM角色的 Amazon 資源名稱 (ARN)。在這種情況下,它是ARN您在步驟 1 中建立的角色。◦
mfa_serial
:指定使用者擔任角色時必須使用的MFA裝置識別碼或序號。在這種情況下,它是ARN您在步驟 3 中設置的虛擬設備。