amazon-web-services - 如何在启用MFA强制的情况下使用 `aws ecr get-login`？

Question

我正在使用aws cli，并且我的IAM用户具有完整的管理员权限。我们公司需要MFA，因此我的IAM用户有MFA实现政策。要使用cli，我使用aws sts get-session-token获取 token 。

所有这些使我可以很好地使用aws cli，直到我尝试获取AWS容器注册表的docker登录名。然后我得到一个错误...

$ aws ecr get-login --registry-ids XXXXX
An error occurred (AccessDeniedException) when calling the GetAuthorizationToken operation: User: arn:aws:iam::XXXXX:user/yyyyy is not authorized to perform: ecr:GetAuthorizationToken on resource: *

如果我暂时从IAM用户中删除了MFA实现策略，则命令将成功执行。

所以问题是，如何在启用MFA强制的情况下使用aws ecr get-login？

Answer 1

您首先需要获取 session token 。可以通过以下方式完成:

aws sts get-session-token --serial-number <arn-of-the-mfa-device> --token-code <code-generated-by-MFA-device>

可以通过在AWS控制台的IAM部分中转到用户的详细信息来找到arn-of-mfa设备。
上面命令的输出将为您提供一个 session token ，以及其他访问凭证。然后，您应该运行:

aws configure set aws_session_token <the-session-token-in-the-output-of-above-command>

之后，像往常一样执行aws ecr登录。