0

アカウントで MFA を有効にせずに、ユーザーが AWS へのアクセスを制限するためのポリシーが用意されています。そのため、現在、誰もが自分のアカウントで MFA を有効にし、AWS にログインして何かにアクセスする必要があるときはいつでも MFA を使用することを余儀なくされています。これはすべて正常に機能し、問題はありません。

私たちが抱えている問題は、Cyber​​duck を使用して AWS S3 バケットにアクセスしていることです。現在、Cyber​​duck 内でアクセス キーとシークレット キーを使用して S3 バケットを探索しています。ユーザー アカウントで MFA が有効になっている場合、Cyber​​duck は S3 への接続を許可せず、失敗し続けます。同じアカウントで MFA を無効にするとすぐに、同じアクセス キーとシークレット キーを使用して Cyber​​duck 経由で S3 に接続できます。

この問題を回避し、すべてのユーザーが自分のアカウントで MFA を有効にしながら、MFA が有効な間は自分のアクセス キーとシークレット キーを使用して S3 バケットにアクセスできるようにする方法を考えていますか?

あなたの誰かが助けて、同じシナリオを持っていれば素晴らしいでしょう.

代替ソリューションは大歓迎です。

また、S3 に接続してバケットを参照するユーザーは技術者ではなく、多くの技術的なことを行うことはできません。したがって、これに対する簡単な解決策を求めています。

君たちありがとう。

4

1 に答える 1

1

オプション 1: STS get-session-token を呼び出す

get-session-tokenMFA コードを提供する際には、Security Token Service (STS) コマンドを使用する必要があります。これにより、Cyber​​duck が使用できる一時的なIAM 資格情報の新しいセットが返されます。残念ながら、Cyber​​duck は MFA トークンを求めることができないため、毎回これを行う必要があります。

参照: AWS CLI から MFA を使用してアクセスを認証する

オプション 2: MFA でロールを引き受けるように Cyber​​duck を構成する

help/en/howto/s3 – Cyber​​duckから、AWS 認証情報ファイルで IAM ロールを設定し、MFA も指定できるようです。

   [testuser]
   aws_access_key_id=<access key for testuser>
   aws_secret_access_key=<secret key for testuser>
   [testrole]
   role_arn=arn:aws:iam::123456789012:role/testrole
   source_profile=testuser
   mfa_serial=arn:aws:iam::123456789012:mfa/testuser

基本的に、MFA シリアル番号を指定してロールを引き受けようとします。私はその方法を試したことがないので、Cyber​​duck がどのように MFA 値を要求するのかわかりません。試してみて、どうだったか教えてください!

于 2021-06-02T12:15:07.310 に答える