Autenticación multifactor (MFA) en el Kit de herramientas para Visual Studio - AWS Kit de herramientas con Amazon Q
Paso 1: creación de un rol de IAM para delegar el acceso a los usuarios de IAMPaso 2: creación de un usuario de IAM que asuma los permisos del rolPaso 3: añadir una política que permita al usuario de IAM asumir el rolPaso 4: administración de un dispositivo de MFA virtual para el usuario de IAMPaso 5: creación de perfiles para permitir el uso de MFA

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación multifactor (MFA) en el Kit de herramientas para Visual Studio

La autenticación multifactor (MFA) es una seguridad adicional para AWS sus cuentas. La MFA exige que los usuarios proporcionen credenciales de inicio de sesión y una autenticación única desde un mecanismo de AWS MFA compatible al acceder a sitios web o servicios. AWS

AWS admite una variedad de dispositivos virtuales y de hardware para la autenticación MFA. El siguiente es un ejemplo de un dispositivo de MFA virtual habilitado a través de una aplicación de smartphone. Para obtener más información sobre las opciones del dispositivo MFA, consulte Uso de la autenticación multifactor (MFA) en AWS en la Guía del usuario de IAM.

Paso 1: creación de un rol de IAM para delegar el acceso a los usuarios de IAM

En el procedimiento siguiente, se describe cómo configurar la delegación de roles para asignar permisos a un usuario de IAM. Para obtener más información acerca de la delegación de roles de IAM, consulte el tema Creación de un rol para delegar permisos a un usuario de IAM en la Guía del usuario de AWS Identity and Access Management .

  1. Vaya a la consola de IAM en https://console.aws.amazon.com /iam.

  2. En la barra de navegación, seleccione Roles y, a continuación, seleccione Crear rol.

  3. En la página Crear un rol, seleccione Otra cuenta de AWS .

  4. Escriba el ID de cuenta requerido y marque la casilla de verificación Requerir MFA.

    nota

    Para encontrar el número de cuenta de 12 cifras (ID), vaya a la barra de navegación en la consola y seleccione Soporte y, a continuación, elija Centro de soporte.

  5. Elija Siguiente: permisos.

  6. Adjunte las políticas existentes al rol o cree una nueva política para él. Las políticas que elija en esta página determinan a qué AWS servicios puede acceder el usuario de IAM con el kit de herramientas.

  7. Tras adjuntar las políticas, seleccione Siguiente: etiquetas para tener la opción de añadir etiquetas de IAM a su rol. Elija Siguiente: revisión para continuar.

  8. En la página de revisión, introduzca un Nombre del rol obligatorio (toolkit-role, por ejemplo). También puede añadir una descripción opcional en Descripción del rol.

  9. Elija Crear rol.

  10. Cuando aparezca el mensaje de confirmación (por ejemplo, "Se ha creado el rol toolkit-role"), elija el nombre del rol en el mensaje.

  11. En la página Resumen, seleccione el icono de copia para copiar el ARN del rol y pegarlo en un archivo. (Necesita este ARN al configurar el usuario de IAM para que asuma el rol).

Paso 2: creación de un usuario de IAM que asuma los permisos del rol

Este paso crea un usuario de IAM sin permisos para poder añadir una política en línea.

  1. Vaya a la consola de IAM en /iam. https://console.aws.amazon.com

  2. En la barra de navegación, elija Usuarios y, a continuación, elija Agregar usuario.

  3. En la página Agregar usuario, indique el Nombre de usuario necesario (toolkit-user, por ejemplo) y marque la casilla de verificación Acceso mediante programación.

  4. Seleccione Siguiente: permisos, Siguiente: etiquetas y Siguiente: revisar para avanzar por las páginas siguientes. En este momento no va a añadir permisos porque el usuario va a asumir los permisos del rol.

  5. En la página Revisión, se le informa de que este usuario no tiene permisos. Seleccione la opción Crear un usuario.

  6. En la página Correcto, elija Descargar .csv para descargar el archivo que contiene el ID de clave de acceso y la clave de acceso secreta. (Necesitará ambos al definir el perfil del usuario en el archivo credentials).

  7. Seleccione Cerrar.

Paso 3: añadir una política que permita al usuario de IAM asumir el rol

El siguiente procedimiento crea una política insertada que permite al usuario asumir el rol (y los permisos de dicho rol).

  1. En la página Usuarios de la consola de IAM, elija el usuario de IAM que acaba de crear (toolkit-user, por ejemplo).

  2. En la pestaña Permisos de la página Resumen, seleccione Añadir política insertada.

  3. En la página Crear política, seleccione Elegir un servicio, escriba STS en Buscar un servicio y, a continuación, elija STS en los resultados.

  4. En Acciones, comience a escribir el término. AssumeRole Marque la AssumeRolecasilla de verificación cuando aparezca.

  5. En la sección Recurso, asegúrese de que esté seleccionada la opción Específico y haga clic en Agregar ARN para restringir el acceso.

  6. En el cuadro de diálogo Agregar ARN, en Especificar ARN para el rol, agregue el ARN del rol que creó en el Paso 1.

    Tras añadir el ARN del rol, la cuenta de confianza y el nombre del rol asociados a ese rol aparecen en Cuenta y Nombre de rol con ruta.

  7. Elija Agregar.

  8. De vuelta a la página Crear política, elija Especificar las condiciones de la solicitud (opcional), marque la casilla de verificación MFA requerida y, a continuación, seleccione Cerrar para confirmar.

  9. Elija Revisar la política

  10. En la página Revisar la política, escriba un nombre para la política y después elija Crear política.

    La pestaña Permisos muestra la nueva política insertada adjuntada directamente al usuario de IAM.

Paso 4: administración de un dispositivo de MFA virtual para el usuario de IAM

  1. Descargue e instale una aplicación de MFA virtual en su smartphone.

    Para obtener una lista de las aplicaciones compatibles, consulte la página de recursos sobre la autenticación multifactor.

  2. En la consola de IAM, elija Usuarios en la barra de navegación y, a continuación, elija el usuario que asumirá el rol (en este ejemplo, toolkit-user).

  3. En la página Resumen, elija la pestaña Credenciales de seguridad y, en Dispositivo de MFA asignado, elija Administrar.

  4. En el panel Administrar dispositivo de MFA, elija Dispositivo de MFA virtual y, a continuación, elija Continuar.

  5. En el panel Configurar dispositivo de MFA virtual, seleccione Mostrar código QR y escanee el código con la aplicación de MFA virtual que instaló en su smartphone.

  6. Tras escanear el código QR, la aplicación de MFA virtual genera códigos MFA de un solo uso. Introduzca dos códigos de MFA consecutivos en Código de MFA 1 y Código de MFA 2.

  7. Elija Asignar MFA.

  8. De vuelta a la pestaña Credenciales de seguridad del usuario, copie el ARN del nuevo dispositivo de MFA asignado.

    El ARN incluye su ID de cuenta de 12 dígitos y el formato es similar al siguiente: arn:aws:iam::123456789012:mfa/toolkit-user. Necesitará este ARN al definir el perfil de MFA en el siguiente paso.

Paso 5: creación de perfiles para permitir el uso de MFA

El siguiente procedimiento crea los perfiles que permiten la MFA al acceder a AWS los servicios del Toolkit for Visual Studio.

Los perfiles que cree incluyen tres datos que ha copiado y almacenado durante los pasos anteriores:

  • Las claves de acceso (ID de clave de acceso y clave de acceso secreta) del usuario de IAM

  • El ARN del rol que delega los permisos al usuario de IAM

  • El ARN del dispositivo de MFA virtual que está asignado al usuario de IAM

En el archivo de credenciales AWS compartido o en la tienda de SDK que contiene sus AWS credenciales, añada las siguientes entradas:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

En el ejemplo se definen dos perfiles:

  • El perfil de [toolkit-user] incluye la clave de acceso y la clave de acceso secreta que se generaron y guardaron al crear el usuario de IAM en el Paso 2.

  • El perfil de [mfa] define cómo se admite la autenticación multifactorial. Hay tres entradas:

    source_profile: especifica el perfil cuyas credenciales se utilizan para asumir el rol especificado por la configuración de role_arn en este perfil. En este caso, es perfil toolkit-user.

    role_arn: especifica el nombre de recurso de Amazon (ARN) del rol de IAM que desea utilizar para realizar las operaciones solicitadas mediante este perfil. En este caso, es el ARN del rol que creó en el Paso 1.

    mfa_serial: especifica la identificación o el número de serie del dispositivo de MFA que el usuario debe utilizar al asumir un rol. En este caso, es el ARN del dispositivo virtual que configuró en el Paso 3.