至少我认为这是一个更好的解决方案，允许您运行任何使用AWS SDK的代码（包括cli）。
我用的是Mac电脑，所以osascript对我很有效，但是提示符可以是你的操作系统支持的任何东西。或者如果你有Yubikey，你可以使用prompt=ykman。
在~/.aws中，有2个文件config和credentials，它们告诉SDK如何进行身份验证。
要在~/.aws/config中开始，需要为每个角色提供一个配置文件。默认角色是您假定所有其他角色都是代码将升级到的角色。

[default]
output=json
region=<your region>
mfa_serial=arn:aws:iam::<you>

[profile dev-base]
source_profile=default
role_arn=arn:aws:iam::<account to escalate to>

[profile staging-base]
source_profile = default
role_arn = arn:aws:iam::<account to escalate to>

[dev]
region = <your region>

[staging]
region = <your region>

注意：一个奇怪的地方是，我必须把角色和地区放在这个文件中，这样角色才会存在。
如果你没有使用java，这可能是不需要的。你可以把完整的角色放在~/.aws/credentials的前一个文件中（但是我也使用java，所以这是我的设置）

[dev]
ca_bundle = /Users/<username>/.aws/cert.pem
credential_process=aws-vault exec dev-base -j --prompt=osascript

[staging]
ca_bundle = /Users/<username>/.aws/cert.pem
credential_process=aws-vault exec master-base -j --prompt=osascript

注意：这里的一个奇怪之处是指定了ca_bundle。golang中的一些东西对使用AWS_CA_BUNDLE不满意，但这似乎有效。
现在，当运行代码时，将显示一个弹出窗口，要求提供MFA令牌。
此外，在运行任何aws cli命令时，您可以使用要使用的--profile ie aws s3 ls --profile dev，此时将出现弹出窗口。
当使用aws-vault时，手动编辑这些文件可能不是最好的方法，但目前这是我们管理它们的方式，这似乎给予最好的工作流程。