1.概要
自分自身が業務をするときに少しつまずいたので、
Windows10にて、AWS CLIからコマンドでMFAをして接続する方法についてまとめました。
ブラウザからはMFAをしてAWSにログインできるが、
AWS CLIからの接続方法が分からない人に読んでいただけると幸いです。
また、この記事が面白いと思った方は高評価、チャンネル登録をお願いします!
(*^^)v
参考URL
https://aws.amazon.com/jp/premiumsupport/knowledge-center/authenticate-mfa-cli/
2.そもそもMFAとは
MFAとはMulti-factor authentication(多要素認証)の頭文字で、
以下の情報の中から2つ以上を必要とする認証のことです。
- 知識情報(例:ユーザ名、パスワード)
- 所持情報(例:スマホで確認できるコード)
- 生体情報(例:指紋)
従来のユーザ名、パスワードだけの認証よりもセキュリティが向上します。
参考URL
https://moconavi.jp/blog/2021/06/5812/
3.前提条件
前提条件を以下に記載します。
- Windows10を使用していること
- IAMユーザの作成が完了し、MFAをする設定が有効化されていること
- スマホでMFAコードが確認できること
- AWS CLIのバージョン2をPCにインストールしていること
- AWS CLIにIAMユーザのアクセスキー、シークレットアクセスキーの設定が完了していること
4.手順
本題となりますが、以下にAWS CLIでMFAをする方法について記載します。
4.1. スマホにてMFAのコードを確認する
4.2. AWS CLIにて以下のコマンドを実行する
aws sts get-session-token --serial-number arn:aws:iam::(AWSアカウントIDの数字12桁):mfa/(IAMユーザ名) --token-code (MFAのコード6桁)
※コマンドを打ち終わる前にMFAのコードが時間切れになった場合は、再度手順4.1を実行してください
4.3.コマンド実行結果として、以下が返ってくることを確認する
{
"Credentials": {
"AccessKeyId": "(アクセスキーの情報)",
"SecretAccessKey": "(シークレットアクセスキーの情報)",
"SessionToken": "(セッショントークンの情報)",
"Expiration": "(セッショントークンの有効期限)"
}
}
4.4.コマンド実行結果をメモ帳等にコピーする
4.5.AWS CLIにて以下のコマンドを実行する
set AWS_ACCESS_KEY_ID = (手順4.3で確認したアクセスキーの情報)
set AWS_SECRET_ACCESS_KEY = (手順4.3で確認したシークレットアクセスキーの情報)
set AWS_SESSION_TOKEN = (手順4.3で確認したセッショントークンの情報)
以上でMFAが有効の場合でもAWS CLIからコマンドを使用することができるようになります。
また、AWS CLIを再起動すると接続できなくなりますが、
セッショントークンの有効期限内であれば再度手順4.5を実行すれば接続できます。
5.補足手順
再起動のたび手順4.5を実行するのが手間な場合は手順4.5の代わりに以下の手順5.1~5.4を実行してください。
セッショントークンの有効期限内であれば、複数回再起動しても最初から接続できる状態となります。
※セッショントークンの有効期限が切れた場合は、以下のコマンドを実行し、AWS CLIを再起動し、手順4.1から実施してください
setx AWS_PROFILE default
5.1.エクスプローラを開き、C:\Users\user.aws\credentialsをメモ帳等で開く
5.2.末尾に以下を追記し、保存する
[(プロファイル名)]
aws_access_key_id = (手順3で確認したアクセスキーの情報)
aws_secret_access_key = (手順3で確認したシークレットアクセスキーの情報)
aws_session_token = (手順3で確認したセッショントークンの情報)
5.3.AWS CLIにて、以下のコマンドを実行する
setx AWS_PROFILE (手順7で入力したプロファイル名)