Otentikasi multi-faktor (MFA) di Toolkit for Visual Studio - AWS Toolkit dengan Amazon Q
Langkah 1: Membuat IAM peran untuk mendelegasikan akses ke pengguna IAMLangkah 2: Membuat IAM pengguna yang mengasumsikan izin peranLangkah 3: Menambahkan kebijakan untuk memungkinkan IAM pengguna mengambil peranLangkah 4: Mengelola MFA perangkat virtual untuk IAM penggunaLangkah 5: Membuat profil untuk memungkinkan MFA

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi multi-faktor (MFA) di Toolkit for Visual Studio

Otentikasi multi-faktor (MFA) adalah keamanan tambahan untuk akun Anda AWS . MFAmengharuskan pengguna untuk memberikan kredensi masuk dan otentikasi unik dari MFA mekanisme yang AWS didukung saat mengakses situs AWS web atau layanan.

AWS mendukung berbagai perangkat virtual dan perangkat keras untuk MFA otentikasi. Berikut ini adalah contoh MFA perangkat virtual yang diaktifkan melalui aplikasi smartphone. Untuk informasi selengkapnya tentang opsi MFA perangkat, lihat Menggunakan autentikasi multi-faktor (MFA) AWS di IAM Panduan Pengguna.

Langkah 1: Membuat IAM peran untuk mendelegasikan akses ke pengguna IAM

Prosedur berikut menjelaskan cara mengatur deligasi peran untuk menetapkan izin kepada pengguna. IAM Untuk informasi rinci tentang deligasi peran, lihat Membuat peran untuk mendelegasikan izin ke topik IAM pengguna di Panduan Pengguna.AWS Identity and Access Management

  1. Pergi ke IAM konsol di https://console.aws.amazon.com/iam.

  2. Pilih Peran di bilah navigasi, lalu pilih Buat Peran.

  3. Di halaman Buat peran, pilih AWS Akun lain.

  4. Masukkan ID Akun yang Anda butuhkan dan tandai kotak MFA centang Memerlukan.

    catatan

    Untuk menemukan 12 digit nomor akun (ID) Anda, buka bilah navigasi di konsol, lalu pilih Support, Support Center.

  5. Pilih Berikutnya: Izin.

  6. Lampirkan kebijakan yang ada ke peran Anda atau buat kebijakan baru untuknya. Kebijakan yang Anda pilih di halaman ini menentukan AWS layanan mana yang dapat diakses IAM pengguna dengan Toolkit.

  7. Setelah melampirkan kebijakan, pilih Berikutnya: Tag untuk opsi menambahkan IAM tag ke peran Anda. Kemudian pilih Berikutnya: Tinjau untuk melanjutkan.

  8. Di halaman Tinjauan, masukkan nama Peran yang diperlukan (toolkit-role, misalnya). Anda juga dapat menambahkan deskripsi Peran opsional.

  9. Pilih Buat peran.

  10. Ketika pesan konfirmasi ditampilkan (“Peran toolkit-peran telah dibuat”, misalnya), pilih nama peran dalam pesan.

  11. Di halaman Ringkasan, pilih ikon salin untuk menyalin Peran ARN dan tempelkan ke dalam file. (Anda memerlukan ini ARN saat mengonfigurasi IAM pengguna untuk mengambil peran.).

Langkah 2: Membuat IAM pengguna yang mengasumsikan izin peran

Langkah ini membuat IAM pengguna tanpa izin sehingga kebijakan in-line dapat ditambahkan.

  1. Pergi ke IAM konsol di https://console.aws.amazon.com/iam.

  2. Pilih Pengguna di bilah navigasi dan kemudian pilih Tambah pengguna.

  3. Di halaman Tambah pengguna, masukkan nama pengguna yang diperlukan (toolkit-user, misalnya) dan tandai kotak centang Akses program.

  4. Pilih Berikutnya: Izin, Berikutnya: Tag, dan Berikutnya: Tinjau untuk bergerak melalui halaman berikutnya. Anda tidak menambahkan izin pada tahap ini karena pengguna akan mengambil izin peran.

  5. Di halaman Tinjauan, Anda diberi tahu bahwa Pengguna ini tidak memiliki izin. Pilih Create user (Buat pengguna).

  6. Di halaman Sukses, pilih Unduh.csv untuk mengunduh file yang berisi ID kunci akses dan kunci akses rahasia. (Anda memerlukan keduanya saat menentukan profil pengguna di file kredensial.)

  7. Pilih Tutup.

Langkah 3: Menambahkan kebijakan untuk memungkinkan IAM pengguna mengambil peran

Prosedur berikut membuat kebijakan in-line yang memungkinkan pengguna untuk mengambil peran (dan izin peran tersebut).

  1. Di halaman Pengguna IAM konsol, pilih IAM pengguna yang baru saja Anda buat (toolkit-user, misalnya).

  2. Di tab Izin pada halaman Ringkasan, pilih Tambahkan kebijakan sebaris.

  3. Di halaman Buat kebijakan, pilih Pilih layanan, STSmasukkan Temukan layanan, lalu pilih STSdari hasilnya.

  4. Untuk Tindakan, mulailah memasukkan istilah AssumeRole. Tandai kotak AssumeRolecentang saat muncul.

  5. Di bagian Sumber Daya, pastikan Spesifik dipilih, dan klik Tambahkan ARN untuk membatasi akses.

  6. Dalam kotak dialog Tambah ARN, ARNuntuk Tentukan peran tambahkan peran ARN yang Anda buat di Langkah 1.

    Setelah menambahkan peranARN, akun tepercaya dan nama peran yang terkait dengan peran tersebut akan ditampilkan di Akun dan nama Peran dengan jalur.

  7. Pilih Tambahkan.

  8. Kembali ke halaman Buat kebijakan, pilih Tentukan kondisi permintaan (opsional), tandai kotak centang yang MFAdiperlukan, lalu pilih tutup untuk mengonfirmasi..

  9. Pilih Tinjau kebijakan

  10. Di halaman Kebijakan tinjauan, masukkan Nama untuk kebijakan, lalu pilih Buat kebijakan.

    Tab Izin menampilkan kebijakan inline baru yang dilampirkan langsung ke IAM pengguna.

Langkah 4: Mengelola MFA perangkat virtual untuk IAM pengguna

  1. Unduh dan instal MFA aplikasi virtual ke ponsel cerdas Anda.

    Untuk daftar aplikasi yang didukung, lihat halaman sumber daya Otentikasi Multi-faktor.

  2. Di IAM konsol, pilih Pengguna dari bilah navigasi dan kemudian pilih pengguna yang mengambil peran (toolkit-user, dalam hal ini).

  3. Di halaman Ringkasan, pilih tab Kredensial keamanan, dan untuk MFAperangkat yang Ditugaskan pilih Kelola.

  4. Di panel Kelola MFA perangkat, pilih MFAPerangkat virtual, lalu pilih Lanjutkan.

  5. Di panel Siapkan MFA perangkat virtual, pilih Tampilkan kode QR dan kemudian pindai kode menggunakan MFA aplikasi virtual yang Anda instal di ponsel cerdas Anda.

  6. Setelah Anda memindai kode QR, MFA aplikasi virtual menghasilkan kode satu kaliMFA. Masukkan dua MFA kode berturut-turut dalam kode 1 dan MFA MFAkode 2.

  7. PilihTetapkanMFA.

  8. Kembali ke tab Security credentials untuk pengguna, salin perangkat baru ARN yang Ditugaskan MFA.

    ARNTermasuk ID akun 12 digit Anda dan formatnya mirip dengan yang berikut:arn:aws:iam::123456789012:mfa/toolkit-user. Anda memerlukan ini ARN saat menentukan MFA profil di langkah berikutnya.

Langkah 5: Membuat profil untuk memungkinkan MFA

Prosedur berikut membuat profil yang memungkinkan MFA saat mengakses AWS layanan dari Toolkit for Visual Studio.

Profil yang Anda buat mencakup tiga bagian informasi yang telah Anda salin dan simpan selama langkah-langkah sebelumnya:

  • Kunci akses (ID kunci akses dan kunci akses rahasia) untuk IAM pengguna

  • ARNperan yang mendelegasikan izin kepada pengguna IAM

  • ARNdari MFA perangkat virtual yang ditetapkan untuk IAM pengguna

Di file AWS kredensi bersama atau SDK Store yang berisi AWS kredensi Anda, tambahkan entri berikut:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

Ada dua profil yang didefinisikan dalam contoh yang diberikan:

  • [toolkit-user]profil termasuk kunci akses dan kunci akses rahasia yang dihasilkan dan disimpan saat Anda membuat IAM pengguna di Langkah 2.

  • [mfa]profil mendefinisikan bagaimana otentikasi multi-faktor didukung. Ada tiga entri:

    source_profile: Menentukan profil yang kredensialnya digunakan untuk mengambil peran yang ditentukan oleh role_arn pengaturan ini dalam profil ini. Dalam hal ini, itu adalah toolkit-user profilnya.

    role_arn: Menentukan Amazon Resource Name (ARN) dari IAM peran yang ingin Anda gunakan untuk melakukan operasi yang diminta menggunakan profil ini. Dalam hal ini, ini ARN untuk peran yang Anda buat di Langkah 1.

    mfa_serial: Menentukan identifikasi atau nomor seri MFA perangkat yang harus digunakan pengguna saat mengambil peran. Dalam hal ini, ini adalah perangkat virtual yang Anda atur di Langkah 3. ARN