適用於 Visual Studio 的 Toolkit 中的多重要素驗證 (MFA) - AWS 搭配 Amazon Q 的工具組
步驟 1:建立 IAM 角色以將存取權委派給 IAM 使用者步驟 2:建立擔任角色許可的 IAM 使用者步驟 3:新增政策以允許 IAM 使用者擔任角色步驟 4:管理 MFA 使用者的虛擬 IAM 裝置步驟 5:建立設定檔以允許 MFA

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

適用於 Visual Studio 的 Toolkit 中的多重要素驗證 (MFA)

多重要素驗證 (MFA) 是 AWS 您的帳戶的額外安全性。MFA 要求使用者在存取 AWS 網站或服務時,從 AWS 支援的 MFA 機制提供登入憑證和唯一身分驗證。

AWS 支援各種虛擬和硬體裝置進行 MFA 身分驗證。以下是透過智慧型手機應用程式啟用的虛擬 MFA 裝置範例。如需 MFA 裝置選項的詳細資訊,請參閱 Word 使用者指南IAM中的使用多重要素驗證 (WordMFA) AWS

步驟 1:建立 IAM 角色以將存取權委派給 IAM 使用者

下列程序說明如何設定角色刪除,以將許可指派給 IAM 使用者。如需角色刪除的詳細資訊,請參閱 AWS Identity and Access Management 使用者指南中的建立角色以將許可委派給 IAM 使用者主題。

  1. 前往 IAM/iam 的 https://console.aws.amazon.com 主控台。

  2. 在導覽列中選擇角色,然後選擇建立角色

  3. 建立角色頁面中,選擇另一個 AWS 帳戶

  4. 輸入所需的帳戶 ID 並標記需要 MFA 核取方塊。

    注意

    若要尋找 12 位數的帳號 (ID),請前往主控台中的導覽列,然後選擇支援支援中心

  5. 選擇下一步:許可

  6. 將現有政策連接至您的角色,或為其建立新政策。您在此頁面上選擇的政策決定 IAM 使用者可以使用 Toolkit 存取哪些 AWS 服務。

  7. 連接政策後,請選擇下一步:標籤,以選擇將 IAM 標籤新增至您的角色。然後選擇下一步:檢閱以繼續。

  8. 檢閱頁面中,輸入所需的角色名稱 (例如工具組角色)。您也可以新增選用的角色描述

  9. 選擇建立角色

  10. 顯示確認訊息時 (例如,"已建立角色工具組角色"),請在訊息中選擇角色的名稱。

  11. 摘要頁面中,選擇複製圖示以複製角色ARN,並將其貼到檔案中。(您在設定 ARN 使用者擔任角色時需要此 IAM。)。

步驟 2:建立擔任角色許可的 IAM 使用者

此步驟會建立沒有許可的 IAM 使用者,以便新增內嵌政策。

  1. 前往 IAM/iam 的 https://console.aws.amazon.com 主控台。

  2. 在導覽列中選擇使用者,然後選擇新增使用者

  3. 新增使用者頁面中,輸入所需的使用者名稱 (例如工具組使用者),並標記程式設計存取核取方塊。

  4. 選擇下一步:許可下一步:標籤下一步:檢閱以瀏覽下一頁。您在此階段不會新增許可,因為使用者將擔任角色的許可。

  5. 檢閱頁面中,您會收到此使用者沒有許可的通知。選擇 Create user (建立使用者)。

  6. 成功頁面中,選擇下載 .csv 以下載包含存取金鑰 ID 和秘密存取金鑰的檔案。(在憑證檔案中定義使用者設定檔時,您需要兩者。)

  7. 選擇關閉

步驟 3:新增政策以允許 IAM 使用者擔任角色

下列程序會建立內嵌政策,允許使用者擔任角色 (以及該角色的許可)。

  1. 在 IAM 主控台的使用者頁面中,選擇您剛建立的 IAM 使用者 (例如工具組使用者)。

  2. 摘要頁面的許可索引標籤中,選擇新增內嵌政策

  3. 建立政策頁面中,選擇選擇服務,在尋找服務中輸入 STS,然後從結果中選擇 STS

  4. 對於動作,開始輸入 AssumeRole 一詞。出現時標記 AssumeRole 核取方塊。

  5. 資源區段中,確保已選取特定,然後按一下新增 ARN 來限制存取。

  6. 新增 ARN(s) 對話方塊中,針對指定角色的 ARN 新增您在步驟 1 中建立的角色的 ARN。

    新增角色的 ARN 後,與該角色相關聯的受信任帳戶和角色名稱會顯示在具有路徑的帳戶和角色名稱中。

  7. 選擇新增

  8. 返回建立政策頁面,選擇指定請求條件 (選用)、標記 MFA 必要核取方塊,然後選擇關閉進行確認。

  9. 選擇 Review policy (檢閱政策)

  10. 檢閱政策頁面中,輸入政策的名稱,然後選擇建立政策

    許可索引標籤會顯示直接連接至 IAM 使用者的新內嵌政策。

步驟 4:管理 MFA 使用者的虛擬 IAM 裝置

  1. 將虛擬 MFA 應用程式下載並安裝到您的智慧型手機。

    如需支援的應用程式清單,請參閱多重要素驗證資源頁面。

  2. 在 IAM 主控台中,從導覽列中選擇使用者,然後選擇擔任角色的使用者 (在此情況下為工具組使用者)。

  3. 摘要頁面中,選擇安全憑證索引標籤,而指派的 MFA 裝置請選擇管理

  4. 管理 MFA 裝置窗格中,選擇 Virtual MFA 裝置,然後選擇繼續

  5. 設定虛擬 MFA 裝置窗格中,選擇顯示 QR 碼,然後使用您安裝在智慧型手機上的虛擬 MFA 應用程式掃描程式碼。

  6. 掃描 QR 碼後,虛擬 MFA 應用程式會產生一次性 MFA 碼。在MFA碼 1 和字碼 2 中輸入連續兩個MFA碼。 MFA

  7. 選擇 AssignMFA (指派)。

  8. 返回使用者的安全憑證索引標籤,複製新指派的 ARN 裝置的 Word。 MFA

    此 ARN 包含您的 12 位數帳戶 ID,格式類似以下:arn:aws:iam::123456789012:mfa/toolkit-user。在下一個步驟中定義 ARN 設定檔時,您需要此 MFA。

步驟 5:建立設定檔以允許 MFA

下列程序會建立設定檔,允許 MFA 從 Toolkit for Visual Studio 存取 AWS 服務。

您建立的設定檔包含三個您在先前步驟中複製和儲存的資訊:

  • IAM 使用者的存取金鑰 (存取金鑰 ID 和秘密存取金鑰)

  • ARN 將許可委派給 IAM 使用者的角色文字

  • 指派給 MFA 使用者的ARN虛擬 IAM 裝置

在包含憑證的 AWS 共用憑證檔案或 SDK Store 中 AWS ,新增下列項目:

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

在提供的範例中定義了兩個設定檔:

  • [toolkit-user] 設定檔包含存取金鑰和秘密存取金鑰,這些金鑰是您在步驟 2 中建立 IAM 使用者時產生並儲存的。

  • [mfa] 設定檔定義了如何支援多重要素身分驗證。有三個項目:

    source_profile:指定憑證用於擔任此設定檔中此role_arn設定所指定角色的設定檔。在這種情況下,這是toolkit-user設定檔。

    role_arn:指定您要用來執行使用此設定檔請求之操作的 IAM 角色的 Amazon Resource Name (ARN)。在此情況下,這是您在步驟 1 中建立之角色的 ARN。

    mfa_serial◦:指定使用者擔任角色時必須使用的 MFA 裝置的識別或序號。在這種情況下,這是您在步驟 3 中設定的虛擬裝置的 ARN。