aws-vaultを利用するとMFA認証をラップしてくれてシークレットもセキュアに保存できるので試してみた。
筆者は最近MacよりUbuntuを使うことが多いが、導入手順はMacOSとほとんど差異はなさそう。

インストール

Homebrewをインストール

# /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

aws-vaultをインストール

# brew install aws-vault

各種操作

アカウントを追加する

# aws-vault add default

ここで入力したKeyとSecretは暗号化されて保存されるが
初回だとバックエンドのキーストア(Ubuntuだとseahorse)のマスターパスワードの設定も求められる。

aws-vaultを介したawsコマンドの実行

# aws-vault exec default -- aws s3 ls # -- の後に実行したいawsコマンドを書く

MFA認証を行う場合

~/.aws/config を開き、対象のprofileにMFAデバイスのARNを追加する。

[profile foo]
mfa_serial = arn:aws:iam::123456789012:mfa/yourname

※あなたが利用しているMFAデバイスのARNに置き換えて下さい

あとはawsコマンド実行時に必要に応じてMFAトークンが求められるようになる