YubyKey의 두 가지 요소 인증과 함께 AWS 리소스에 대한 Terraform 수행 이야기
TL;DR
AWS 리소스에 대해 로컬 환경에서 Terraform을 실행할 때 YubyKey로 두 가지 요소 인증을 받은 기사입니다.
Terraform/AWS Vault/ykman(YubyManager CLI) 사용
Terraform Enterprise/Terraform Cloud 및 CI/CD Piperline &tfmigrate에서 실행되는 환경에서 필요하지 않은 글입니다.
투고자 환경은 맥OS다.다른 OS는 공식 문서를 참조하여 적절하게 교체하십시오.
YubyKey5C의 기사를 사용합니다.OATH가 유효한 모델이라면 사용할 수 있을 것 같아요.
AWS Vault의USAGE.md#using-a-yubikey에는 이 기사에서 해야 할 모든 일이 적혀 있습니다.
배경.
이런 느낌으로.
❯ aws-vault exec --prompt ykman ${YOUR_AWS_PROFILE} -- terraform apply
Touch your YubiKey...
aws_s3_bucket.log: Refreshing state... [id=${YOUR_AWS_PROFILE}]
..(snip)..
사전 준비
01. Terraform/AWS Vault 설정
02. ykman 설치(YubyKey Manager CLI)
brew install ykman
open $(dirname $(which ykman))
03. 사용하는 YubyKey 장치가 OATH를 지원하는지 미리 확인
ykman --device $(ykman list --serials) info
$ ykman --device $(ykman list --serials) info
Device type: YubiKey 5C
..(snip)..
Applications
..(snip)..
OATH Enabled
..(snip)..
AWS Vault에서 YubyKey의 두 가지 요소 인증을 사용하여 Terraform은 AWS 리소스에 액세스합니다.
IAM User의 2원 인증 장치에 YubyKey 등록
arn:aws:iam::${AWS_ACCOUNT_ID}:mfa/${TARGET_IAM_User}
$ ykman oath accounts add -t (A)
Enter a secret key (base32): (B)
$ ykman oath accounts code (A)
AWS Vault에서 (A)의 Access Key와 연결된 AWS Profile을 작성하고 이중 요소 인증 기기를 연결합니다.
$ aws-vault add MFAbyYubikey
※Access Key IDとSecret access keyを聞かれるので(A)のものを登録する
MFA 장치의 ARN(B)이 $ vi ~/.aws/config
[profile MFAbyYubikey]
mfa_serial=${(B)}
$ echo "mfa_serial=${(B)}" >> ~/.aws/config
해보다
$ aws-vault exec --prompt ykman MFAbyYubikey -- terraform apply
Enter token for (A): ここにOTPを入力
aws_s3_bucket.log: Refreshing state... [id=MFAbyYubikey]
..(snip)..
$ ykman oath accounts code (A)
Touch your YubiKey...
(A) xxxxxx
aws-valut list
에서 확인할 수 있습니다.*마이너스인 경우 만료$ aws-vault exec --prompt ykman MFAbyYubikey -- terraform apply
Touch your YubiKey... *ここでYubiKeyのボタンをタッチ
いつものplanが表示されます
끝말
이 글은 각자의 로컬 환경에서 Terraform으로 AWS 자원을 조작할 때 YubyKey를 통해 2요소 인증을 하는 방법을 소개했다.
나는 개인적으로 각자의 로컬 환경에서 AWS 자원을 조작할 수 있는 권한을 가지고 싶지 않다.본 보도의 내용은 시종 환경 정돈 전의 연락에 머물렀으며, 가능한 한 빨리 플랜/apply를 TFT/TFC, import/statemv에서 CI/CD+tfmigrate로 옮기기를 희망합니다.
그럼 안녕히 계세요.
Reference
이 문제에 관하여(YubyKey의 두 가지 요소 인증과 함께 AWS 리소스에 대한 Terraform 수행 이야기), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://zenn.dev/nntsugu/articles/45647e42702325텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)