管理临时MFA AWS凭据。
awsmfa的Python项目详细描述
我什么时候要使用MFA?
大多数团队给他们的工程师一个aws访问密钥对,他们是 写入 ~/.aws/credentials 文件,或填充在 .bashrc 中, 忘记了。这是个安全问题,因为 凭据以明文形式存储,可被恶意软件过滤, 从被盗的笔记本电脑等中复制出来。
一个简单的解决方案是配置您的aws帐户,以便 除非用户还声明 他们的身份通过双因素身份验证。
IAM、S3和其他类型的AWS策略允许您要求用户 最近使用双因素身份验证(mfa)验证了他们的身份。 此条件在策略文档中使用 条件指定 块,像这样:
"Condition": { "Bool": { "aws:MultiFactorAuthPresent": "true" } }
典型的部署包括将策略附加到创建两个 访问级别。
<P>1。第一级只允许很少的特权,例如 只有那些需要标识自己的(iam:getuser)才能启用mfa 设备(iam:enablemfadevice),列出或重新同步其mfa设备(iam:list mfa devices, iam:resyncmfadevice),并获取临时凭据(sts:getsessiontoken)。 用户只需证明自己拥有aws访问密钥id就可以使用这些密钥 以及AWS密钥。 <P>2。第二级授予更多特权,但要求用户最近 使用双因素身份验证对自身进行身份验证。在小团队中, 可能与AWS帐户的完全管理权限一样慷慨。更加安全 环境,策略可以任意调整。您可以在 AWS文档