MFA-аар дамжуулан AWS CLI

Дараа нь AWS MFA-г тохируулах, дараа нь AWS CLI-г суулгах, тохируулах заавар байх болно.

Харамсалтай нь энэ заавал хийх журам нь миний ажлын өдрийн хагасыг зарцуулсан. Бусад найдваргүй AWS хэрэглэгчид 😉, над шиг жижиг зүйлд үнэт цагаа үрэхгүй байхын тулд би зааварчилгааг эмхэтгэхээр шийдсэн.

Хамгаалалтын хязгаарлагдмал орчинд зориулсан дансны тохиргоонд хүртэл ХХААЯ Энэ нь ихэвчлэн заавал байх ёстой шаардлага юм. Манайд ийм л байна.

Гадаад харилцааны яамыг байгуулж байна

1. Тогто нийцтэй гар утасны програм
2. Явна уу AWS консол
3. Миний аюулгүй байдлын итгэмжлэл -> MFA төхөөрөмжийг томилох
   
4. Виртуал MFA төхөөрөмж
   
5. Дэлгэц дээрх зааврыг дагана уу
   
   
6. Виртуал төхөөрөмж бэлэн боллоо
   

AWS CLI суулгаж байна

https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html

Нэрлэсэн профайлыг тохируулж байна

https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html

1. Миний аюулгүй байдлын итгэмжлэл -> Хандалтын түлхүүр үүсгэх
   
2. Түлхүүрийг санах ойдоо хуулна уу. Дараагийн алхамд танд хэрэгтэй болно
3. $ aws configure --profile <your profile name>

MFA-аар дамжуулан AWS CLI

1. ARN виртуал төхөөрөмжийг хуулах
   
2. aws sts get-session-token --profile <имя профиля> --serial-number <ARN виртуального устройства> --token-code <одноразовый пароль>
   Нэг удаагийн нууц үгийг өмнө нь тохируулсан гар утасны програмаас авах ёстой.
3. Тус тушаал нь JSON-г гаргах бөгөөд тус тусын талбаруудыг AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN харгалзах орчны хувьсагчид орлуулах ёстой.

Би автоматжуулахаар шийдсэн ~/.bash_profile
JSON-г задлан шинжлэхийн тулд энэ скрипт шаардлагатай jq.

#!/usr/bin/env bash

aws_login() {
    session=$(aws sts get-session-token "$@")
    echo "${session}"
    AWS_ACCESS_KEY_ID=$(echo "${session}" | jq -r '.Credentials.AccessKeyId')
    export AWS_ACCESS_KEY_ID
    AWS_SECRET_ACCESS_KEY=$(echo "${session}" | jq -r '.Credentials.SecretAccessKey')
    export AWS_SECRET_ACCESS_KEY
    AWS_SESSION_TOKEN=$(echo "${session}" | jq -r '.Credentials.SessionToken')
    export AWS_SESSION_TOKEN
}

alias aws-login-dev='aws_login --profile <имя dev профиля> --serial-number <ARN виртуального устройства> --token-code '
alias aws-login-prod='aws_login --profile <имя prod профиля> --serial-number <ARN виртуального устройства> --token-code '

Хэрэглээ:

$ aws-login-dev <одноразовый пароль>

Энэхүү заавар нь албан ёсны баримт бичгүүдээр удаан тэнүүчлэхээс зайлсхийхэд тусална гэж найдаж байна

Эх сурвалж: www.habr.com