티스토리 뷰

Cloud 이야기/AWS-Amazon Web Service

[230328]AWS CLI 접속할 때도 2차 인증(MFA)을 사용해보자~

성현위키 2023. 3. 28. 15:15
728x90
반응형

우선 앞서 제가 작성한 AWS CLI 접속을 기본적으로 알고 계신다는 선에서 시작해요~

https://story-sh.tistory.com/entry/230207AWS-Command-Line-InterfaceCLI-%EC%84%A4%EC%B9%98-%EB%B0%8F-%EC%84%A4%EC%A0%95%ED%95%98%EA%B8%B0-for-Windows-11

 

[230207]AWS Command Line Interface(CLI) 설치 및 설정하기 - for Windows 11

{본문의 작성 기준} 제목 : [케이스일자] 케이스이름 및 제목(약어) - for ~ 내용 : [작성의 이유 및 참고사항] [공식 및 참고 사이트] [방법 및 설명 가이드] [한줄평] [작성의 이유 및 참고사항] - 작

story-sh.tistory.com

 

이번은 제가 겪은 건데 위에서와 같이 접속하여 GUI 아닌 CLI로 EC2를 만들고 지우려고 했는데 권한문제가 발생하여 확인하다가 알게 된 내용입니다. ㅋㅋ 즉 MFA설정해 놓아서 그런 거였어요~

 

시작해 봅시다. 해결하러~ ㅎㅎ 전 머 해보고 잘되니까 남기지만 ㅋㅋㅋ 참고하세요.

겪지 말 것은 굳이 이제는 활용하시길~

 

1. 먼저 AWS CLI가 앞서의 링크처럼 설치되고 접속환경 즉 타깃도 설정하시고요~

링크 보시다시피 Windows 11입니다. CMD창~

 

aws s3 ls이렇게 환경은 잘 해놓았고~
이렇게 ec2를 조회하면 에러가 나죠~?

 

이유는 해당 액세스 계정에 MFA가 설정이 되어있기 때문~

이제 MFA 걸치고 접속해 봅시다~

# MFA토큰을 사용하여 엑세스를 인증하는 명령어~ (임시 세션 토큰 발행)
aws sts get-session-token --serial-number <MFA arn> --token-code <토큰번호6자리>

## 위의 임시 세션 토큰에 대한 등록
#for Windows
set AWS_ACCESS_KEY_ID=
set AWS_SECRET_ACCESS_KEY=
set AWS_SESSION_TOKEN=

# for Linux
unset AWS_ACCESS_KEY_ID
unset AWS_SECRET_ACCESS_KEY
unset AWS_SESSION_TOKEN

# 예시  ec2 조회
aws ec2 describe-instances

명령어를 봅시다.

 

<MFA arn> 이 것을 찾아야겠네요~

뒤의 토큰번호 6자리는 접속 시의 MFA인증번호일 테고요~

 

이제 <MFA arn> 찾아봅시다.

일단 AWS console -> iam -> 사용자 멀티 팩터 인증(MFA) 확인~

IAM 찾아가봅시다.~
역시 제 계정은 MFA가 있죠~ 당연 루트쪽 사용자도 MFA는 필수죠~
저의 계정을 찾아서~
저의 계정에서 보안자격증명 ㄱㄱ
저의 경우는 폰과 PC에 두군데에 OTP를 사용하고 있어요~ 그래서 2개중 한개 사용해야 겠죠?
전 PC브라우저용으로 할거에욤~ 찾았다~ MFA arn 보이는 arn을 복사~

위에서처럼 MFA등록은 폰과 PC도 되죠~

혹시나 PC OTP 방법은 이전 저의 글 참고요. 아래 링크

https://story-sh.tistory.com/entry/230209AWS%EC%9D%98-2%EC%B0%A8-%EC%9D%B8%EC%A6%9DMFA-%ED%81%AC%EB%A1%AC-%EB%B8%8C%EB%9D%BC%EC%9A%B0%EC%A0%80PC%EC%97%90%EC%84%9C-%ED%95%98%EC%9E%90

 

[230209]AWS의 2차 인증(MFA) 크롬 브라우저(PC)에서 하자~

AWS 컨솔을 자주 들어가다 보니 2차 인증인 MFA를 등록하고 쓰다 보니 PC -> 폰 이것도 별로 지인도 사용하고 있어 저도 설정했던 방법 적어봅니다. 제공 사이트 : https://authenticator.cc/ Authenticator Extens

story-sh.tistory.com

 

자 이제 <MFA arn>을 찾았으니 이제 기입해서 접속해서 ec2들 조회해 볼가요~ ㄱㄱ

임시 세션 토큰키가 발행되었네요!
토큰 생성에서 나온 정보를 하나하나 복사하여 값을 넣어서 set 3번 ㄱㄱ
이제 ec2 조회가 에러없이 되는 것을 볼 수 있죠~

참조 링크 : 

https://repost.aws/ko/knowledge-center/authenticate-mfa-cli

 

MFA를 사용하여 AWS CLI에 대한 액세스 인증 | AWS re:Post

MFA 토큰을 사용하여 AWS Command Line Interface(AWS CLI)를 통해 내 AWS 리소스에 대한 액세스를 인증하고 싶습니다.

repost.aws

 

항상 말하지만 앞서 AWS CLI 설치와 접속방법 우선 하시고 아는 분은 바로 가능~!

 

+_+

 

** 아 명심하고 또 참고 해야 할 사항 2가지 

1. 해당 세션에 대한 임시토큰이고 또한 해당 cmd창을 끄면 또다시 같은 작업 또 해주어야 해요~ (당연하죠~)

 

2. 1번에서처럼 계속 접속하더라도 참조 링크에서처럼 아마 화면 하단에 세션토큰키 만들 때 기한이 있는데 수정도 돼요~

( 참고: sts get-session-token 명령에서 -duration-seconds 옵션을 사용하여 만료 기간(초)을 지정할 수 있습니다. 이 값의 범위는 900초(15분)~129,600초(36시간)입니다. 루트 사용자 자격 증명을 사용하는 경우 이 범위는 900초(15분)부터 3600초(1시간)까지입니다.)

 

인증은 중요함으로 절대적으로 영구적으로 사용되선 안되게 머 되어있지만 불편하다 해도 이건 맞는 것이니

항상 보안에 신경 씁시다! 너무 편하면 문제 생겨요~

728x90
반응형
저작자표시 비영리 변경금지

'Cloud 이야기 > AWS-Amazon Web Service' 카테고리의 다른 글

[230424]K-ISMS 규정 준수 팩에 대한 자료(KISA&AWS 콜라보)  (0) 2023.04.24
[230412]레거시 서버의 데이터(첨부파일)를 S3로 옮기자~  (0) 2023.04.12
[230406]AWS 서브넷의 IP주소관련  (0) 2023.04.06
[230329]AWS Eks operational notification - 알림 공유~  (0) 2023.03.29
[230324]AWS Builders Korea Program-5 일차  (0) 2023.03.27
[230323]AWS Builders Korea Program-4 일차  (0) 2023.03.23
[230322]AWS Builders Korea Program-3 일차  (0) 2023.03.22
[230321]AWS Builders Korea Program-2 일차  (0) 2023.03.21
공유하기 링크
Comments
Related Articles more