Autenticazione a più fattori (MFA) in Toolkit for Visual Studio - AWS Toolkit con Amazon Q
Fase 1: Creazione di un IAM ruolo per delegare l'accesso agli utenti IAMPassaggio 2: creazione di un IAM utente che assuma le autorizzazioni del ruoloFase 3: Aggiungere una politica per consentire all'IAMutente di assumere il ruoloFase 4: Gestione di un MFA dispositivo virtuale per l'utente IAMFase 5: Creazione di profili da consentire MFA

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione a più fattori (MFA) in Toolkit for Visual Studio

L'autenticazione a più fattori (MFA) è una sicurezza aggiuntiva per i tuoi AWS account. MFArichiede agli utenti di fornire credenziali di accesso e autenticazione univoca tramite un MFA meccanismo AWS supportato quando accedono a AWS siti Web o servizi.

AWS supporta una gamma di dispositivi virtuali e hardware per MFA l'autenticazione. Di seguito è riportato un esempio di MFA dispositivo virtuale abilitato tramite un'applicazione per smartphone. Per ulteriori informazioni sulle opzioni MFA del dispositivo, consulta la sezione Utilizzo dell'autenticazione a più fattori (MFA) AWS nella Guida per l'IAMutente.

Fase 1: Creazione di un IAM ruolo per delegare l'accesso agli utenti IAM

La procedura seguente descrive come impostare la delega dei ruoli per l'assegnazione delle autorizzazioni a un utente. IAM Per informazioni dettagliate sulla delega dei ruoli, consulta l'argomento Creazione di un ruolo per delegare le autorizzazioni a un utente nella Guida per l'utente. IAM AWS Identity and Access Management

  1. Vai alla console all'indirizzo /iam. IAM https://console.aws.amazon.com

  2. Scegli Ruoli nella barra di navigazione, quindi scegli Crea ruolo.

  3. Nella pagina Crea ruolo, scegli Altro AWS account.

  4. Inserisci l'ID account richiesto e contrassegna la MFA casella di controllo Richiedi.

    Nota

    Per trovare il tuo numero di account (ID) a 12 cifre, vai alla barra di navigazione nella console, quindi scegli Support, Support Center.

  5. Scegli Successivo: autorizzazioni.

  6. Associa le politiche esistenti al tuo ruolo o creane una nuova. Le politiche scelte in questa pagina determinano a quali AWS servizi l'IAMutente può accedere con il Toolkit.

  7. Dopo aver allegato le politiche, scegli Avanti: Tag per l'opzione di aggiungere IAM tag al tuo ruolo. Quindi scegli Avanti: Revisione per continuare.

  8. Nella pagina Revisione, inserisci il nome del ruolo richiesto (toolkit-role, ad esempio). Puoi anche aggiungere una descrizione del ruolo opzionale.

  9. Scegliere Crea ruolo.

  10. Quando viene visualizzato il messaggio di conferma («The role toolkit-role has been created», ad esempio), scegli il nome del ruolo nel messaggio.

  11. Nella pagina di riepilogo, scegli l'icona di copia per copiare il ruolo ARN e incollarlo in un file. (È necessaria per configurare ARN l'IAMutente per assumere il ruolo.).

Passaggio 2: creazione di un IAM utente che assuma le autorizzazioni del ruolo

Questo passaggio crea un IAM utente senza autorizzazioni in modo da poter aggiungere una politica in linea.

  1. Vai alla IAM console all'indirizzo https://console.aws.amazon.com /iam.

  2. Scegli Utenti nella barra di navigazione, quindi scegli Aggiungi utente.

  3. Nella pagina Aggiungi utente, inserisci un nome utente richiesto (toolkit-user, ad esempio) e seleziona la casella di controllo Accesso programmatico.

  4. Scegliete Avanti: Autorizzazioni, Avanti: Tag e Avanti: Revisione per passare alle pagine successive. Non stai aggiungendo autorizzazioni in questa fase perché l'utente assumerà le autorizzazioni del ruolo.

  5. Nella pagina di revisione, vieni informato che Questo utente non dispone di autorizzazioni. Selezionare Create user (Crea utente).

  6. Nella pagina Operazione completata, scegli Scarica .csv per scaricare il file contenente l'ID della chiave di accesso e la chiave di accesso segreta. (Sono necessari entrambi per definire il profilo dell'utente nel file delle credenziali).

  7. Scegli Chiudi.

Fase 3: Aggiungere una politica per consentire all'IAMutente di assumere il ruolo

La procedura seguente crea una politica in linea che consente all'utente di assumere il ruolo (e le relative autorizzazioni).

  1. Nella pagina Utenti della IAM console, scegli l'IAMutente che hai appena creato (toolkit-user, ad esempio).

  2. Nella scheda Autorizzazioni della pagina di riepilogo, scegli Aggiungi politica in linea.

  3. Nella pagina Crea politica, scegli Scegli un servizio, entra STSin Trova un servizio, quindi scegli uno STSdei risultati.

  4. Per Azioni, inizia a inserire il termine AssumeRole. Contrassegna la AssumeRolecasella di controllo quando viene visualizzata.

  5. Nella sezione Risorsa, assicurati che sia selezionato Specifico e fai clic su Aggiungi ARN per limitare l'accesso.

  6. Nella finestra di dialogo Aggiungi ARN (i), ARNper Specificare il ARN ruolo, aggiungi il ruolo che hai creato nel passaggio 1.

    Dopo aver aggiunto i ruoliARN, l'account attendibile e il nome del ruolo associati a quel ruolo vengono visualizzati in Account e Nome ruolo con percorso.

  7. Scegli Aggiungi.

  8. Tornando alla pagina Crea policy, scegli Specificare le condizioni di richiesta (opzionale), contrassegna la casella di controllo MFArichiesta, quindi scegli Chiudi per confermare.

  9. Scegli Review policy (Esamina policy).

  10. Nella pagina Revisione della politica, inserisci un nome per la politica, quindi scegli Crea politica.

    La scheda Autorizzazioni mostra la nuova politica in linea allegata direttamente all'IAMutente.

Fase 4: Gestione di un MFA dispositivo virtuale per l'utente IAM

  1. Scarica e installa un'MFAapplicazione virtuale sul tuo smartphone.

    Per un elenco delle applicazioni supportate, consulta la pagina delle risorse sull'autenticazione a più fattori.

  2. Nella IAM console, scegli Utenti dalla barra di navigazione, quindi scegli l'utente che assume un ruolo (toolkit-user, in questo caso).

  3. Nella pagina di riepilogo, scegli la scheda Credenziali di sicurezza e per Dispositivo assegnato scegli Gestisci. MFA

  4. Nel riquadro Gestisci MFA dispositivo, scegli MFADispositivo virtuale, quindi scegli Continua.

  5. Nel riquadro Configura MFA dispositivo virtuale, scegli Mostra codice QR, quindi scansiona il codice utilizzando MFA l'applicazione virtuale installata sullo smartphone.

  6. Dopo aver scansionato il codice QR, l'MFAapplicazione virtuale genera MFA codici monouso. Inserisci due MFA codici consecutivi nel MFAcodice 1 e nel MFAcodice 2.

  7. Scegliere Assign (Assegna)MFA.

  8. Torna alla scheda Credenziali di sicurezza dell'utente, copia il file ARN del nuovo MFAdispositivo assegnato.

    ARNInclude l'ID dell'account a 12 cifre e il formato è simile al seguente:. arn:aws:iam::123456789012:mfa/toolkit-user Ne hai bisogno ARN quando definisci il MFA profilo nel passaggio successivo.

Fase 5: Creazione di profili da consentire MFA

La procedura seguente crea i profili che consentono MFA l'accesso ai AWS servizi dal Toolkit for Visual Studio.

I profili che crei includono tre informazioni che hai copiato e archiviato durante i passaggi precedenti:

  • Chiavi di accesso (ID della chiave di accesso e chiave di accesso segreta) per l'IAMutente

  • ARNdel ruolo che delega le autorizzazioni all'utente IAM

  • ARNdel MFA dispositivo virtuale assegnato all'utente IAM

Nel file di credenziali AWS condiviso o SDK nello Store che contiene AWS le tue credenziali, aggiungi le seguenti voci:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

Nell'esempio fornito sono definiti due profili:

  • [toolkit-user]il profilo include la chiave di accesso e la chiave di accesso segreta che sono state generate e salvate al momento della creazione IAM dell'utente nel passaggio 2.

  • [mfa]profile definisce in che modo è supportata l'autenticazione a più fattori. Sono disponibili tre voci:

    source_profile: specifica il profilo le cui credenziali vengono utilizzate per assumere il ruolo specificato da questa role_arn impostazione in questo profilo. In questo caso, è il toolkit-user profilo.

    role_arn: specifica l'Amazon Resource Name (ARN) del IAM ruolo che desideri utilizzare per eseguire le operazioni richieste utilizzando questo profilo. In questo caso, si tratta del ARN ruolo che hai creato nella Fase 1.

    mfa_serial: specifica l'identificazione o il numero di serie del MFA dispositivo che l'utente deve utilizzare quando assume un ruolo. In questo caso, è il ARN dispositivo virtuale configurato nel passaggio 3.