awsmfa を利用してみた

コマンドを一発打つだけで一時セッションが発行される

• MFA設定した環境でもコマンド一つでセッションが保存されるため特に困らない
• ただ、yubikeyなどの物理キーがないときにMFAのsecret をどう保存したらよいかがわからなかった

設定したポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllDenyWithoutMFA",
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": false
                }
            }
        }
    ]
}

# エラー確認
aws ec2 describe-instances  --region ap-northeast-1 --profile mfa-test
An error occurred (UnauthorizedOperation) when calling the DescribeInstances operation: You are not authorized to perform this operation.

# MFA不要な一時キー発行 を発行して .aws/credentials の profile mfa  に登録
awsmfa --serial-number arn_of_mfa_device --mfa-profile-name mfa --profile mfa-test ワンタイムパスワード

# 一時セッションで実行
aws ec2 describe-instances  --region ap-northeast-1 --profile mfa
{
    "Reservations": []
}