Aws-cli: U2F 지원

AFAIK, U2F는 일반적으로 웹 브라우저에서만 작동합니다. CLI에서 어떻게 사용될 것으로 예상하십니까? 브라우저를 실행하시겠습니까?

@JensRantil 아니요, 모든 종류의 애플리케이션은 U2F 토큰과 상호 작용할 수 있습니다.

출처: 저는 데비안에서 libu2f-* 및 pam-u2f 를 유지합니다 ;)

API 액세스에는 아직 U2F가 지원되지 않는 것 같습니다.

U2F 보안 키로 MFA 보호 API 액세스를 사용할 수 없습니다.

즉, 이 피드백을 서비스 팀에 확실히 전달했습니다. 내 경험에 따르면 U2F는 다른 두 번째 요소보다 100000배 더 유용하므로 내 자신의 용도로도 보고 싶습니다.

한 가지 주의할 점은 u2f 토큰과 상호 작용하기 위해 c 종속성을 가져와야 한다고 확신하기 때문에 이것이 V2 기능이어야 한다는 것입니다.

@JordonPhillips 참고로 Python U2F 호스트 라이브러리가 있습니다. 자체 100% Python이지만 IIRC가 libusb 및 libudev 사용하는 hidapi 에 의존합니다.
OTOH, 이미 모든 주요 배포판에서 사용할 수 있으므로 큰 문제가 되지 않습니까?

또한 (U2F 사용과 마찬가지로) 사용자가 U2F 장치와 상호 작용할 수 있어야 합니다. Yubico는 task-desktop 의 종속성인 libu2f-udev (C 라이브러리를 가져오지 않고 설치할 수 있도록)로 Debian에 제공한 libu2f-host udev 규칙 업스트림을 유지 관리합니다. (Debian 10 "buster"부터 시작) 대부분의 사용자는 기본적으로 설치합니다. 스트레치(현재 데비안 안정)에서 U2F용 udev 규칙을 udev 패키지로 제공했으므로 여기에서도 사용할 수 있습니다.
요약: 데비안은 jessie 이후의 U2F 장치에 대한 올바른 권한이 있어야 하며(1년 전에 출시됨) 모든 데비안 파생물도 마찬가지여야 합니다(U2F를 깨기 위해 노력하지 않는 한...)

이것은 저에게 큰 도움이 될 것입니다. 하루에 10~20번씩 휴대폰을 꺼내 TOTP를 복사하는 것은 재미가 없습니다. 😂 대신 Yubikey를 탭할 수만 있다면 aws-cli 경험이 훨씬 더 _너무__ 즐거워질 것입니다.

@nbraud 그들이 사용하는 python 인터페이스는 Linux 휠을 제공하지 않는 것 같으므로 설치하려면 사용자에게 컴파일러가 설치되어 있어야 합니다. 이것은 현재 cli를 설치하기 위한 요구 사항이 아니므로 해당 라이브러리를 추가하는 것은 많은 사용자에게 주요 변경 사항이 될 것입니다.

@JordonPhillips 브레이킹 체인지 도입과 관련하여... 열성적인 사용자가 덜 모험적인 사용자를 위해 일을 중단하지 않고 초기에 이점을 얻을 수 있는 몇 가지 접근 방식을 상상할 수 있습니다.

1. v1에서 이를 선택적 종속성으로 만든 다음 정말로 관심이 있는 사람들은 이를 활성화하기 위해 특수 플래그로 컴파일할 수 있습니다. 이러한 방식으로 그들은 기본적으로 결국 v2 클라이언트의 일부가 될 "미리보기"를 선택합니다.

2. U2F 조각을 별도의 바이너리로 분할하고 런타임에 존재를 감지합니다. 그런 다음 U2F와 함께 AWS CLI를 사용하려고 하는 사용자는 "이 다른 도구를 설치하십시오"라는 메시지가 표시됩니다. 예를 들어 Mac에서는 행복에서 brew install aws-cli-u2f 떨어져 있습니다. 😃

네, 이 기능을 사용하려면 소스에서 컴파일(compile-from-source) 모듈을 설치하는 것이 좋습니다. 거의 항상 컴파일러가 이미 있는 개발자 컴퓨터에서만 필요하고 어쨌든 서버에서는 필요하지 않습니다.

파이썬-U2F 호스트의 대안이 될 것 파이썬 fido2 의 USB HID 수단의 C 라이브러리를 필요에서 당신을 얻을 만하는 선박의 바퀴 암호화 라이브러리를 필요로 ...

이쯤에서 숨을 참겠어 👍

이 문제를 이해하는 한 STS/IAM은 이 문제를 진행하기 전에 보안 키에 대한 API 지원을 MFA 토큰으로 얻어야 ​​합니까?

이 문제를 이해하는 한 STS/IAM은 이 문제를 진행하기 전에 보안 키에 대한 API 지원을 MFA 토큰으로 얻어야 ​​합니까?

누구든지 이것에 대해 밝힐 수 있습니까? 확실히 아직 지원되지 않는다면 그것은 모퉁이 돌면 ...?

편집하다:

별로 유용하지 않은 버전을 구현했지만 아무도 사용하지 않았기 때문에 회사에서 고객 중 누구도 기능에 관심이 없다고 가정하는 기발한 사례 중 하나로 밝혀지지 않도록 하십시오.

Amazon 콘솔에 로그인할 때 웹 UI를 사용하지 않습니다. 처리해야 하는 계정이 여러 개 있기 때문에 모두 CLI 기반입니다. 그리고 내가 웹 UI를 사용하여 로그인을 _did_ 사용하더라도, U2F와 함께 사용할 기존 계정의 _중복 계정_을 계속 사용해야만 합니다. 왜냐하면 여전히 이전 Google/LastPass를 사용해야 하기 때문입니다. /모든 aws-cli 대한 인증자.

그래서... AWS의 U2F 지원은 내가 _정말_ 열광할 _잠재_가 있지만, CLI 지원 없이는 아직 건드릴 가치가 없습니다. 나는 많은 사람들이 같은 배에 있다고 상상합니다.

@jeffparsons 는 CLI/SDK용 U2F MFA가 정말로 필요하다는 데 전적으로 동의합니다. 나는 그들이 libusb/python-fido 접근 방식을 하는 것을 거부할 것이라고 확신합니다. 왜냐하면 그것이 ruby/java ect SDK에서 잘 매핑되지 않기 때문입니다. 원터치 챌린지 응답이 있는 U2F는 꽤 보편적일 것입니다.

btw 다른 계정에 대한 역할을 가정하여 웹 콘솔에서 계정을 매우 쉽게 전환할 수 있습니다.
처럼:
https://signin.aws.amazon.com/switchrole?roleName=SomeAdminRole&account=YourAccountNumberOrAlias
보다:
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html

그런 다음 페이지 오른쪽 상단의 사용자/계정 드롭다운에서 역할 전환기를 볼 수 있습니다.

역시 이 녀석은 뭔가를 하고 있을지도... https://gist.github.com/woowa-hsw0/caa3340e2a7b390dbde81894f73e379d

여기에 아주 좋은 솔루션이 있습니다. https://github.com/kreuzwerker/awsu

동일한 U2F를 사용하는 별도의 idp로 여러 다중 계정 설정으로 작업하는 것은 저에게 엄청난 수고를 덜어줄 것입니다.
또한 v1에서 미리 보기로 가져오기 위해 추가 종속성을 설치/컴파일하는 데 문제가 없습니다.

aws 측의 문제에 대한 움직임이 있습니까?

그 가치를 위해 aws-vault는 U2F 지원에서 병합에 상당히 가까운 것 같습니다: https://github.com/99designs/aws-vault/pull/316

즉, 공식 AWS CLI 도구에 기본 U2F 지원을 추가하는 것에 절대적으로 찬성합니다.

그만한 가치가 있기 때문에 aws-vault는 U2F 지원에서 병합에 상당히 가까운 것 같습니다. 99designs/aws-vault#316

아니요, 그것은 단지 Yubikey를 사용하여 TOTP 토큰을 생성하는 것입니다. Yubikey를 사용할 수 있는 해결 방법이지만 U2F는 아닙니다.

(이것은 awsu 가 하는 것과 같습니다.)

awscli 의 전체 MFA는 설정하기가 어렵고 yubikey 지원이 부족해도 도움이 되지 않습니다.
2019년 MFA는 최첨단 기능이 되어서는 안 됩니다.

이에 대한 진전이 있습니까?

방금 이것에 부딪쳤습니다. cli에서 지원하지 않으려면 웹 콘솔에서 Yubikey 지원을 제거하십시오. Google에서 이 항목을 검색하고 AWS가 광고하는 내용을 지원하지 않는다는 것을 확인하는 것은 엄청난 시간 낭비입니다.

이 문제가 440일 동안 열려 있고 아직 해결되지 않았다는 것은 꽤 우스꽝스러운 일입니다.

CLI 지원은 앞서 언급했듯이 높이 평가됩니다.

안녕하세요, https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html을 사용하여 모든 인간 사용자에 대해 MFA를 시행하고 싶습니다. 더 나은 솔루션) 하지만 이제 다음 중 하나를 수행해야 합니다.

) 아이디어를 완전히 포기하거나
b) 모든 사람이 U2F 사용에서 TOTP로 다운그레이드하도록 합니다.

IAM이 여러 MFA 장치를 지원하지 않는다는 사실도 나쁜 농담입니다...

이제 거의 2020년입니다. 편리하고 안전한 (읽기: U2F) MFA 솔루션은 사치품이 아니라 필수품입니다. 특히 악의적인 행위자가 심각한 재정적 피해를 입힐 수 있는 영역에서.

AWS, 제발, 제발, 제발, 함께 행동하고 생태계(U2F도 지원하지 않는 CLI, 모바일 앱, AWS SSO) 전체에서 MFA 지원을 강화하기 위해 노력하십시오!

IAM이 여러 MFA 장치를 지원하지 않는다는 사실도 나쁜 농담입니다...

정말 부끄럽습니다. 하나의 장치만 등록하는 것은 정말 나쁜 습관이므로 Amazon에 와서 이 문제를 최대한 빨리 수정하십시오!

이 문제가 440일 동안 열려 있고 아직 해결되지 않았다는 것은 꽤 우스꽝스러운 일입니다.

그것보다 더 나쁘다. 2013년에 Amazon의 누군가는 다음과 같이 썼습니다.

불행히도 현재로서는 계정당 하나의 MFA만 가질 수 있습니다.
그러나 나는 이것을 향후 개발을 위한 기능으로 고려하기 위해 개발 팀과 함께 제기했습니다.
https://forums.aws.amazon.com/thread.jspa?threadID=137055

팀이 바쁠 수도 있고 그렇지 않을 수도 있다는 것은 이해하지만, 아무도 이 문제에 대해 답장을 하지 않는다는 사실이 저를 걱정하게 합니다. 이것은 변명할 수 있는 인력 부족, 저임금 오픈 소스 프로젝트가 아니라 AWS 자체입니다.

491일, 500에 샴페인을 열자! :샴페인: :confetti_ball:

나는 Amazon이 $가 있는 GOV 프로젝트에 정말로 집중하고 있다고 가정합니다. 이 스레드는 내가 일반적으로 누구에게도 AWS 사용을 권장하지 않는 이유 중 하나입니다.
물론 최첨단이던 시절도 있었지만 요즘은.. 기본적인 기능이 부족합니다. 주제에서 벗어났지만 다른 예는 Route 53이 여전히 DNSSEC를 지원하지 않는다는 것이므로 여기에서 시작하겠습니다. 아, 그리고 AWS 구현에 "멀티"가 없기 때문에 MFA를 SFA라고 불러야 합니다.

폭언을 해서 미안하지만 실제로 이 기능을 원하는 보안 담당자를 제외하고는 아무도 이 스레드를 보지 않을 것입니다.
500명 달성까지 며칠 안 남았습니다 :) !

이 추가되었으면 정말 좋겠습니다. 나는 휴대폰이 매우 산만하다는 것을 알고 AWS 서비스와 상호 작용할 때 시간당 여러 번 휴대폰을 꺼내고 싶지 않습니다.

이것은 며칠 전에 업데이트되었습니다 - https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/

그게 누군가에게 도움이 되나요?

그게 누군가에게 도움이 되나요?

슬프게도, 아닙니다. IMHO는 AWS가 토큰 코드를 사용하기 위해 복잡한 스크립트가 필요하다는 또 다른 문제입니다. 이 문제를 해결하기 위해 타사 aws-mfa python 스크립트 PyPi 모듈을 사용합니다.
하지만 @chris-bateman을 생각해주셔서 감사합니다!

이것은 며칠 전에 업데이트되었습니다 - https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/

해당 기사 하단에 "개선할 수 있는 사항이 있습니까? 알려주십시오" 버튼이 있습니다. 이 버튼은 반드시 눌러야 합니다.

제 몫을 다했고 "알려주기 부분"에 댓글을 남겼습니다. 이 기능이 구현된다면 저도 매우 기쁠 것입니다.

@steinybot 을 게시

아직 구현되지 않았다는 안타까운 댓글 추가

2개월도 채 안되어 2주년이 다가옵니다. 이제 가까워지겠죠? 오른쪽?

좋은 소식: aws-vault를 사용하지 않는다면 사용해야 합니다. 그들은 방금 Yubikey 지원을 도입했습니다. TOTP를 지원하는 yubikey가 있는 경우 내부에 MFA 코드를 추가할 수 있습니다. 이상적인 것은 Amazon에서 기대하는 것이지만 Jeff가 더 부자가 되는 동안에는 아마존이 신경 쓰지 않는다는 데 모두 동의할 수 있습니다.
역할 등에 대한 훌륭한 지원이 있습니다. 제 일부는 이것이 제3자 도구라는 것이 슬프지만 오픈 소스를 좋아하는 이유는 바로 여기에 있습니다. 옵션이 있다는 것입니다.
링크: https://github.com/99designs/aws-vault/blob/master/USAGE.md#using -a-yubikey

aws-vault는 훌륭하지만 U2F가 아닌 TOTP를 지원합니다.

이것을 오랫동안 기다린 후에 나는 이제 https://github.com/kreuzwerker/awsu를 사용합니다.

@nbraud 그들이 사용하는 python 인터페이스는 Linux 휠을 제공하지 않는 것 같으므로 설치하려면 사용자에게 컴파일러가 설치되어 있어야 합니다. 이것은 현재 cli를 설치하기 위한 요구 사항이 아니므로 해당 라이브러리를 추가하는 것은 많은 사용자에게 주요 변경 사항이 될 것입니다.

@jeffparsons 가 더 많은 종속성을 가진 다른 더 큰 라이브러리 중 하나를 사용하는 경우 몇 가지 합리적인 잠재적 해결 방법을 지적했지만, 고려해야 할 더 작은 Python 라이브러리인 pyu2f도 있음을 지적하겠습니다 . 또한 U2F 키와 통신하기 위해 기본 USB HID 라이브러리에 의존하지만 하나의 Python 종속성: six 있습니다. MacOS, Linux 및 Windows와 호환되는 OS HID 호출에 대한 자체 ctypes 기반 바인딩을 포장하고 "충분한" 사용 사례를 다룰 것입니다.

아직 작업 중인 사람이 있습니까? aws-cli 팀은 이 기능의 프로토타입에 대한 패치를 수락합니까?

편집: IAM 사용자 가이드 에서 자세히 읽은 후 U2F가 API 수준에서 지원되지 않는 것처럼 보이므로 aws-cli 대화형 U2F 토큰 인증을 지원하더라도 GetSessionToken 및 AssumeRole 처럼 보이지 않습니다

API 작업에 대한 MFA 보호의 다음 측면을 이해하는 것이 중요합니다.

• MFA 보호는 AssumeRole 또는 GetSessionToken으로 가져와야 하는 임시 보안 자격 증명을 통해서만 사용할 수 있습니다.
• U2F 보안 키로 MFA 보호 API 액세스를 사용할 수 없습니다.

또한 @kiwimato 의 소셜 논평에

이상적인 것은 Amazon에서 기대하는 것이지만 Jeff가 더 부자가 되는 동안에는 아마존이 신경 쓰지 않는다는 데 모두 동의할 수 있습니다.

이것은 자본주의 토론 포럼이 아니라 소프트웨어 개발 스레드라는 것을 알아두십시오. AWS 팀은 내 경험상 botocore 를 수정하는 데 매우 반응이 좋았던 진정한 인간으로 구성되어 있습니다. 문제가 있는 경우 대부분의 오픈 소스 특성이 문제 해결에 기여하거나 최소한 몇 가지 옵션을 브레인스토밍하는 데 도움이 될 수 있음을 인식하십시오.

그러나 기본 AWS API 자체는 MFA용 TOTP 이외의 것을 지원하지 않는 것으로 보이지만 이 문제는 단순히 클라이언트 기능을 지원하지 않는 aws-cli 보다 더 큰 문제일 수 있습니다. API가 U2F를 지원하면 AWS가 이 티켓을 부풀려 클라이언트 지원을 받을 수 있기를 바랍니다.

적어도 이와 같은 솔루션은 기기와 휴대전화 간의 컨텍스트 전환에 도움이 될 것입니다.
https://auth.com/

이것에 대한 ETA가 있습니까? AWS cli 사용을 위해 좋은 MFA 사례를 사용하는 사람이 전 세계적으로 아무도 없다는 사실은 매우 우려스럽습니다.

AWS cli 사용을 위해 좋은 MFA 사례를 사용하는 사람이 전 세계적으로 아무도 없다는 사실은 매우 우려스럽습니다.

@james-calahan 그건 사실이 아닙니다. MFA로 인증된 역할만 역할에 대한 액세스를 제한합니다. 예:

AssumeRolePolicyDocument:
  Version: '2012-10-17'
  Statement:
    - Effect: Allow
      Principal:
        AWS: !Sub
          - arn:aws:iam::${Account}:root
      Action:
        - sts:AssumeRole
      Condition:
        Bool:
          aws:MultiFactorAuthPresent: 'true'

그런 다음 aws-mfa 라는 도구를 사용하여 STS에서 임시 자격 증명을 얻고 AWS 자격 증명 파일을 업데이트하는 것을 관리합니다. 동일한 목표를 위해 STS와의 상호 작용을 관리하는 다른 방법이 있습니다.

이 티켓은 특히 U2F에 대한 지원을 추가하는 데 중점을 둡니다.

@james-calahan 그건 사실이 아닙니다. MFA로 인증된 역할만 역할에 대한 액세스를 제한합니다.

이것은 TOTP에서만 작동합니다. TOTP 자격 증명 등을 피싱하기 쉽기 때문에 고품질의 두 번째 요소로 간주되어서는 안됩니다.
이는 AWS가 U2F 및 TOTP 디바이스를 단일 IAM 사용자에게 모두 등록하는 것을 허용하지 않는다는 사실로 인해 더욱 악화되었습니다. 따라서 UI 액세스에 U2F를 사용하려는 경우 cli에서 MFA를 사용할 수 없습니다.

필요한 사용자를 위해 두 개의 계정을 만듭니다.

1. 콘솔용 사용자로 U2F를 활성화하거나 아무 것도 액세스할 수 없습니다.
2. 액세스 키를 추가하고 MFA를 활성화하거나 아무 것도 액세스할 수 없는 cli 액세스용 사용자입니다.

CLI 액세스 전용 계정에서 TOTP를 피싱하기가 매우 어렵습니다.

@craighurley
이것은 해결 방법 IMO에 대해 약간 과도하게 보입니다. 콘솔에서 U2F를 사용하려면 AWS 조직의 보안 관리를 위해 2개의 계정을 유지해야 합니다.
U2F를 사용하려는 어떤 회사에게도 합리적인 솔루션이 아니라고 생각합니다.