亚马逊网络服务S3、Cyberduck和MFA

Question

我们为我们的用户制定了一项政策，限制他们在账户上未启用MFA的情况下访问AWS。因此，目前每个人都被迫在他们的账户上启用MFA，并在登录AWS并需要访问任何东西时使用它。这一切工作正常，没有问题。

我们遇到的问题是，我们使用Cyberduck来访问我们的亚马逊网络服务S3存储桶，而目前我们正在使用Cyberduck中的访问密钥和密钥来探索S3存储桶。当在用户帐户上启用MFA时，Cyberduck不会让连接到S3并保持失败，一旦我们在同一帐户上禁用了MFA，我们就可以使用相同的访问密钥和密钥通过Cyberduck连接到S3。

你们有没有想过我们如何解决这个问题，迫使每个人在他们的账户上启用MFA，但在启用MFA的同时，能够使用自己的访问密钥和密钥访问S3存储桶？

如果你们中的任何人都能提供帮助，并且有同样的情况，那就太好了。

欢迎任何替代解决方案。

我还应该提到的是，要连接到S3并浏览存储桶的用户不是技术人员，他们不能做太多的技术工作。所以我们正在寻找一个简单的解决方案。

谢谢你们。

Answer 1

会话选项1:调用STS get--token

您将需要使用安全令牌服务(STS)命令来get-session-token，同时提供MFA代码。这将返回一组新的临时IAM凭据，Cyberduck可以使用该凭据。不幸的是，您每次都需要这样做，因为Cyberduck不能提示输入MFA令牌。

请参阅：Authenticate access using MFA through the AWS CLI

选项2:配置Cyberduck以承担MFA的角色

在help/en/howto/s3 – Cyberduck中，您似乎可以在AWS凭证文件中配置IAM角色，还可以指定MFA：

   [testuser]
   aws_access_key_id=<access key for testuser>
   aws_secret_access_key=<secret key for testuser>
   [testrole]
   role_arn=arn:aws:iam::123456789012:role/testrole
   source_profile=testuser
   mfa_serial=arn:aws:iam::123456789012:mfa/testuser

它基本上是试图在指定MFA序列号的同时承担一个角色。我还没有尝试过这种方法，所以我不确定Cyberduck是如何提示输入MFA值的。试一试，让我们知道你是怎么做的！