Choisissez Créer une politique.
Remarque : Si vous avez appliqué l'authentification multifactorielle (MFA) pour les utilisateurs IAM qui utilisent l'interface de ligne de commande AWS (AWS CLI), vous devez vous authentifier avec MFA avant de passer à l'étape suivante. Un message de refus explicite indique que si MFA est faux, il existe une politique IAM qui refuse les actions :
{ "Version": "2012-10-17",
"Statement": [
{
"Sid": "BlockMostAccessUnlessSignedInWithMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
Comme vous utilisez un appareil MFA, vous devez utiliser un jeton MFA pour authentifier l'accès aux ressources AWS à l'aide de l'AWS CLI. Suivez les étapes décrites dans l'article Comment utiliser un jeton MFA pour authentifier l'accès à mes ressources AWS via l'AWS CLI ?Exécutez ensuite la commande de l'interface de ligne de commande AWS sts get-session-token. Remplacez arn-of-the-mfa-device par l'ARN de votre appareil MFA et code-from-token par le code de votre token :
$ aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-token
Vous pouvez utiliser des informations d'identification temporaires en exportant les valeurs vers des variables d'environnement.
Par exemple :
$ export AWS_ACCESS_KEY_ID=example-access-key-as-in-previous-output$ export AWS_SECRET_ACCESS_KEY=example-secret-access-key-as-in-previous-output$ export AWS_SESSION_TOKEN=example-session-token-as-in-previous-output