Aws-cli: U2Fサポート

AFAIK、U2Fは通常、Webブラウザでのみ機能します。 CLIからどのように使用されると思いますか？ ブラウザを起動しますか？

@JensRantilいいえ、あらゆる種類のアプリケーションがU2Fトークンと対話できます。

出典：Debianでlibu2f-*とpam-u2fを維持しています;）

U2FはAPIアクセスでまだいないよう

U2FセキュリティキーでMFAで保護されたAPIアクセスを使用することはできません。

そうは言っても、私は間違いなくこのフィードバックをサービスチームに伝えました。 私自身の経験では、U2Fは他のどの2番目の要素よりも100000倍使いやすいので、私自身の使用でも見たいと思っています。

1つの注意点は、u2fトークンと対話するためにcの依存関係を取得する必要があると確信しているため、これはV2機能である必要があるということです。

@JordonPhillips参考までに、YubicoのPythonU2Fホストライブラリがあります。 それ自体は100％Pythonですが、IIRCがlibusbとlibudev使用するhidapiに依存しています。
OTOH、それはすでにすべての主要なディストリビューションで利用可能です、それでそれは大したことではないはずですか？

また、（U2Fの使用と同様に）ユーザーがU2Fデバイスと対話できる必要があります。 Yubicoはudevルールをlibu2f-hostでアップストリームに維持しています。これは、Debianでlibu2f-udevとして出荷しました（Cライブラリをプルせずにインストールできるように）。これはtask-desktop依存関係です。 （Debian 10の「バスター」以降）、ほとんどのユーザーは箱から出してインストールできます。 ストレッチ（現在のDebian安定版）では、U2Fのudevルールをudevパッケージで出荷したので、そこでも利用できます。
TL; DR：Debianはジェシー以降（1年以上前にリリースされた）のU2Fデバイスに対する適切な権限を持っている必要があり、すべてのDebian派生物も（U2Fを壊すために邪魔にならない限り...）

これは私にとって非常に役に立ちます。 TOTPをコピーするために1日に10〜20回電話を出すのは、楽しいことではありません。 😅代わりにYubikeyをタップすることができれば、aws-cliのエクスペリエンスははるかに快適になります。

@nbraud彼らが使用しているPythonインターフェースはLinuxホイールを提供していないように見えるので、それをインストールするには、ユーザーがコンパイラーをインストールしている必要があります。 これは現在、CLIをインストールするための要件ではないため、そのライブラリを追加することは、多くのユーザーにとって重大な変更になります。

@JordonPhillips画期的な変更の導入について...熱狂的なユーザーが、あまり冒険的でないユーザーのために物事を壊すことなく、これから早期に利益を得ることができるいくつかのアプローチを想像できます。

1. これをv1のオプションの依存関係にすると、本当に気になる人は特別なフラグを使用してコンパイルして有効にすることができます。 このようにして、彼らは最終的にデフォルトでv2クライアントの一部となるものを「プレビュー」することを選択します。

2. U2Fピースを別のバイナリに分割し、実行時にその存在を検出します。 次に、U2FでAWS CLIを使用しようとするユーザーは、それを機能させるために「この他のツールをインストールする」ように指示されます。 したがって、たとえばMacの場合、私は至福からbrew install aws-cli-u2f離れています。 😃

ええ、この機能を利用するために、オプションのソースからコンパイルするモジュールをインストールできれば幸いです。 これは、開発者のマシンでのみ必要であり（ほとんどの場合、既にコンパイラーが既に存在します）、サーバーでは必要ありません。

python-U2Fホストの代わりになるのpython-fido2 USBのHIDと手段のためのCライブラリを必要とするからあなたを取得するあなただけのどの船ホイール暗号化ライブラリを必要とします...

私はこれのために息を止めます👍

この問題を理解している限り、STS / IAMは、これを進める前に、MFAトークンとしてセキュリティキーのAPIサポートを取得する必要がありますか？

この問題を理解している限り、STS / IAMは、これを進める前に、MFAトークンとしてセキュリティキーのAPIサポートを取得する必要がありますか？

誰かがこれに光を当てることができますか？ 確かに、まだサポートされていない場合は、もうすぐです...？

編集：

これは、あまり役に立たないバージョンを実装した後、誰も使用しなかったため、顧客が機能を気にしないと企業が想定するような厄介なケースの1つにならないようにしてください。

AmazonコンソールへのログインにWebUIを使用することはありません。 処理する必要のあるアカウントがいくつかあるため（など）、すべてCLI主導です。 また、Web UIを使用してログインしたとしても、古いGoogle / LastPassを使用する必要があるため、現状では、U2Fで使用するために既存のすべてのアカウントの_重複アカウント_をいじくり回す必要があります。 /すべてのaws-cliものの認証システム。

つまり... AWSのU2Fサポートには、私が_本当に_熱狂するようなものになる可能性がありますが、CLIサポートがなければ、まだ触れる価値はありません。 たくさんの人が同じ船に乗っていると思います。

@jeffparsonsは、CLI / SDK用のU2FMFAが本当に必要であることに完全に同意します。 libusb / python-fidoアプローチは、ruby / java ect SDKでの実行にうまく対応していないため、彼らは抵抗するでしょう。 ただし、ワンタッチチャレンジレスポンスを備えたU2Fはかなり普遍的です。

ところで、他のアカウントの役割を引き受けることで、Webコンソールでアカウントを非常に簡単に切り替えることができます
お気に入り：
https://signin.aws.amazon.com/switchrole?roleName=SomeAdminRole&account=YourAccountNumberOrAlias
見る：
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html

次に、ページの右上にあるユーザー/アカウントのドロップダウンに役割スイッチャーが表示されます。

また、この男は何かに取り組んでいる可能性があります... https://gist.github.com/woowa-hsw0/caa3340e2a7b390dbde81894f73e379d

これも非常に優れたソリューションですhttps://github.com/kreuzwerker/awsu

複数のマルチアカウント設定を使用して、それらすべてで同じU2Fを使用する個別のidpを使用すると、私にとっては労力が大幅に軽減されます。
また、v1でプレビューとしてこれを取得するために、追加の依存関係をインストール/コンパイルすることに問題はありません。

物事のaws側の問題に関する動きはありますか？

その価値については、aws-vaultはU2Fサポートへのマージにかなり近いようです： https ：

そうは言っても、私は公式のAWSCLIツールにネイティブU2Fサポートを追加することに絶対に賛成です。

その価値については、aws-vaultはU2Fサポートへのマージにかなり近いようです： 99designs / aws-vault＃316

いいえ、Yubikeyを使用してTOTPトークンを作成しているだけです。 これは、Yubikeyを使用できるようにする回避策ですが、U2Fではありません。

（これはawsuと同じようです。）

awscli MFA全体はセットアップが面倒であり、yubikeyのサポートがないことは役に立ちません。
2019年のMFAは、最先端の機能であってはなりません。

これについて何か進展はありますか？

ちょうどこれに遭遇しました。 CLIでサポートする予定がない場合は、WebコンソールからYubikeyのサポートを削除してください。 このようなものをグーグルで検索し、AWSがアドバタイズするものをサポートしていないことを知るのは非常に時間の無駄です

この問題が440日間開いていて、まだ解決されていないことはかなりばかげています。

CLIサポートは前述のとおり非常に高く評価されます

こんにちは、 https：//docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.htmlを使用してすべての人間ユーザーにMFAを適用したいと思い

a）アイデアを完全に諦める、または
b）すべての人にU2Fの使用からTOTPへのダウングレードを強制します。

IAMが複数のMFAデバイスをサポートしていないという事実も悪い冗談です...

ほぼ2020年です。便利で安全な（U2Fを読む）MFAソリューションは必須であり、私の意見では贅沢ではありません。 特に悪意のある攻撃者が深刻な経済的損害を与える可能性のある地域では。

AWS、お願いします、お願いします、どうぞ、あなたの行動をまとめて、エコシステム全体でMFAサポートの強化に取り組んでください（CLI、モバイルアプリ、AWS SSO-U2Fもサポートしていません！）

IAMが複数のMFAデバイスをサポートしていないという事実も悪い冗談です...

これは本当に恥ずかしいことです。 1つのデバイスだけを登録するのは本当に悪い習慣なので、Amazonに来て、これをできるだけ早く修正してください！

この問題が440日間開いていて、まだ解決されていないことはかなりばかげています。

それより悪いです。 2013年にAmazonの誰かが書いた：

残念ながら、現時点では、アカウントごとに1つのMFAしか持てません。
しかし、私はこれを開発チームと一緒に提起し、将来の開発の機能と見なしました。
https://forums.aws.amazon.com/thread.jspa?threadID=137055

チームが忙しいかどうかは理解できますが、誰もこの問題に返信することすらしないという事実が私に関係しています。 これは、人員不足、低賃金のオープンソースプロジェクトではなく、AWS自体です。

491日、500日にシャンパンを開けよう！ ：シャンパン：： confetti_ball：

アマゾンは$が置かれているGOVプロジェクトに本当に焦点を合わせていると思います。 このスレッドは、私が通常AWSの使用を誰にも勧めない理由の一例です。
確かに、彼らが最先端であった時がありました、しかし今日..それはただ基本的な機能を欠いています。 話題から外れていることはわかっていますが、別の例として、Route 53はまだDNSSECをサポートしていないので、ここに進みます。 そうそう、AWSの実装には「マルチ」がないため、MFAはSFAと呼ばれるべきです。

暴言を言って申し訳ありませんが、実際にこの機能を必要としているセキュリティ担当者を除いて、おそらく誰もこのスレッドを見ていません。
500に達するまでほんの数日:)！

本当にこれを追加してほしいです。 携帯電話は非常に気が散るので、AWSサービスとやり取りしているときに1時間に何度も携帯電話を引き出す必要はありません。

これは数日前に更新されました-https：//aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/

それは誰かを助けますか？

それは誰かを助けますか？

悲しいことに、いいえ。 これは、AWSがトークンコードを使用するためにいくつかの複雑なスクリプトを必要とするもう1つの問題です。 私はそれを回避するためにサードパーティのaws-mfa pythonスクリプトPyPiモジュールを使用しています。
しかし、@ chris-batemanの考えに感謝します！

これは数日前に更新されました-https：//aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/

その記事の下部に「改善できることはありますか？お知らせください」ボタンがあり、必ず押します。

私は自分の役割を果たし、「私たちに知らせてください」にコメントを残しました。 この機能が実装されれば、私も非常に興奮します。

@steinybotを投稿して

まだ実装されていないという悲しいコメントを追加する

2ヶ月足らずで2周年を迎えます。 今近づいているに違いないですよね？ 右？

良いニュース：aws-vaultを使用しない場合は、使用する必要があります。 彼らはYubikeyのサポートを導入したばかりです。 TOTPをサポートするyubikeyをお持ちの場合は、MFAコードを内部に追加できます。 アマゾンにそれを期待するのが理想ですが、ジェフが金持ちになっている間は気にしないということには誰もが同意できます。
役割などを強力にサポートしています。これがサードパーティのツールであるのは悲しいことですが、それがオープンソースの好きなところです。オプションがあります。
リンク： https ：

aws-vaultは優れていますが、U2FではなくTOTPをサポートしています。

これを何年も待った後、私は今https://github.com/kreuzwerker/awsuを使用してい

@nbraud彼らが使用しているPythonインターフェースはLinuxホイールを提供していないように見えるので、それをインストールするには、ユーザーがコンパイラーをインストールしている必要があります。 これは現在、CLIをインストールするための要件ではないため、そのライブラリを追加することは、多くのユーザーにとって重大な変更になります。

@jeffparsonsは、依存関係の多い他の大きなライブラリの1つを使用する場合のいくつかの合理的な潜在的な回避策を指摘しましたが、考慮すべき小さなPythonライブラリpyu2fがあることも指摘します。 また、ネイティブUSB HIDライブラリに依存してU2Fキーと通信しますが、Pythonの依存関係はsix 1つだけです。 MacOS、Linux、およびWindowsと互換性のあるOS HID呼び出しへの独自のctypesベースのバインディングをパックし、「十分な」ユースケースをカバーする可能性があります。

誰かがこれに取り組んでいますか？ aws-cliチームは、この機能のプロトタイプのパッチを受け入れますか？

編集： IAMユーザーガイドから詳細を読んだ後、U2FはAPIレベルでサポートされていないようです。したがって、 aws-cliがインタラクティブなU2Fトークン認証をサポートしていても、 GetSessionTokenとAssumeRoleようには見えません。

API操作のMFA保護の次の側面を理解することが重要です。

• MFA保護は、AssumeRoleまたはGetSessionTokenで取得する必要がある一時的なセキュリティクレデンシャルでのみ使用できます。
• U2FセキュリティキーでMFAで保護されたAPIアクセスを使用することはできません。

また、 @ kiwimatoからの社会的解説について：

アマゾンにそれを期待するのが理想ですが、ジェフが金持ちになっている間は気にしないということには誰もが同意できます。

これはソフトウェア開発スレッドであり、資本主義の討論フォーラムではないことを理解してください。 AWSチームは、私の経験ではbotocore修正に非常に敏感な本物の人間で構成されています。 何かがあなたを悩ませている場合、これの多くのオープンソースの性質は、あなたが修正に貢献するのを助けるか、少なくともいくつかのオプションをブレインストーミングするのを助けることができることを意味することを理解してください。

ただし、基盤となるAWS API自体はMFAのTOTP以外のものをサポートしていないようですが、この問題は、単にクライアント機能をサポートしていないaws-cliよりも大きな問題である可能性があります。 APIがU2Fをサポートしたら、AWSがこのチケットを増やすことができれば、クライアントのサポートを開始できます。

少なくともこのようなソリューションは、マシンと電話の間のコンテキスト切り替えに役立ちます
https://authy.com/

これにETAはありますか？ AWS cliの使用に優れたMFAプラクティスを使用している人は、世界中の誰もいないようです。

AWS cliの使用に優れたMFAプラクティスを使用している人は、世界中の誰もいないようです。

@ james-callahanそれは真実ではありません。 ロールへのアクセスは、MFAで認証されたロールにのみ制限されます。 例えば：

AssumeRolePolicyDocument:
  Version: '2012-10-17'
  Statement:
    - Effect: Allow
      Principal:
        AWS: !Sub
          - arn:aws:iam::${Account}:root
      Action:
        - sts:AssumeRole
      Condition:
        Bool:
          aws:MultiFactorAuthPresent: 'true'

次に、 aws-mfaというツールを使用して、STSからの一時的なクレデンシャルの取得とAWSクレデンシャルファイルの更新を管理します。 同じ目標のためにSTSとの対話を管理する他の方法があります。

このチケットは、特にU2Fのサポートを追加することに焦点を当てています。

@ james-callahanそれは真実ではありません。 ロールへのアクセスは、MFAで認証されたロールにのみ制限されます。

これはTOTPでのみ機能します。 これは、TOTPクレデンシャルのフィッシングが容易であるなどの理由から、高品質の2番目の要素と見なすべきではありません。
これは、AWSがU2FとTOTPデバイスの両方を単一のIAMユーザーに登録することを許可していないため、UIアクセスにU2Fを使用する場合、CLIからMFAを使用できないという事実によってさらに悪化します。

それを必要とするユーザーのために、2つのアカウントを作成します。

1. コンソールのユーザー。U2Fを有効にするか、何にもアクセスできません。
2. cliアクセスのユーザー。アクセスキーを追加してMFAを有効にするか、何にもアクセスできません。

CLIアクセス専用アカウントからTOTPをフィッシングするのはかなり難しいです。

@craighurley
これは、回避策IMOには少しやり過ぎに見えます。 コンソールにU2Fを配置するには、AWS組織のセキュリティ管理用に2つのアカウントを維持する必要があります。
U2Fを使いたい企業にとっては合理的な解決策ではないと思います。