Amazon-Web-Services

AWS:我們可以為命令行訪問啟用 MFA 嗎?

  • January 31, 2017

我為 AWS 使用者啟用了 MFA,當使用者登錄 AWS 控制台時,它可以工作。但是,該使用者也可以通過 CLI 訪問所有服務(通過訪問密鑰和密鑰),這是否意味著 CLI 將始終繞過 MFA,即使它已為該使用者啟用?

您可以在 API 訪問中啟用MFA,但使用這些憑據(包括 CLI)的任何服務都必須使用臨時安全憑據(即,您進行 AssumeRole 呼叫,提供您的訪問密鑰、秘密和 MFA 令牌,它會返回有效的臨時訪問密鑰只要 MFA 身份驗證有效)。

話雖如此,通常將您的“登錄”賬戶(即您通過 AWS 控制台登錄的賬戶)與您的“訪問憑證”賬戶(即在其他軟體中使用 API 密鑰的地方)分開被認為是最佳實踐.

您的“登錄”帳戶應該啟用了 MFA,但沒有訪問憑據。您使用此帳戶創建其他“訪問憑據”使用者,這些使用者只能訪問您特別需要訪問的服務/功能。

引用自:https://serverfault.com/questions/649346