メニュー
AWS Identity and Access Management
ユーザーガイド

仮想 MFA デバイスを有効にして管理する(AWS CLI、Tools for Windows PowerShell、または AWSAPI)

以下のリストには、仮想 MFA デバイスを有効化するのに使用するコマンドラインのコマンドや API アクションが一覧表示されています。

注記

AWS アカウントの AWS account root user の MFA デバイスを管理するには、AWS マネジメントコンソール を使用する必要があります。AWS API、AWS CLI、Tools for Windows PowerShell、またはその他のコマンドラインツールを使用して root user の MFA デバイスを管理することはできません。

現時点では、SMS MFA デバイスの管理には AWS マネジメントコンソールのみを使用できます。

AWS マネジメントコンソールから MFA デバイスを有効にすると、コンソールがお客様に代わってステップの多くを実行します。代わりに AWS CLI、Tools for Windows PowerShell、または AWSAPI を使用して仮想デバイスを作成する場合は、それらのステップを適切な順序で自分で実行しなければなりません。たとえば、仮想 MFA デバイスを作成するには、IAM オブジェクトを作成し、文字列または QR コードグラフィックとしてコードを抽出してからデバイスを同期して、それを IAM ユーザーと関連付ける必要があります。詳細については、New-IAMVirtualMFADevice の「Examples」セクションを参照してください。物理デバイスの場合は作成ステップを飛ばし、デバイスを同期してユーザーに関連付ける手順へ直接進んでください。

IAM で仮想デバイスのエンティティを作成し、仮想 MFA デバイスを表すには

これらのコマンドは、次のコマンドの多くでシリアルナンバーの代わりに使用されるデバイスの ARN を提供します。

AWS を使用するように MFA デバイスを有効にするには

これらのコマンドはデバイスを AWS と同期させて、ユーザーまたは root user に関連付けます。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。

重要

認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。この場合は、次のコマンドを使用してデバイスを再同期できます。

デバイスを無効にするには

これらのコマンドはデバイスのユーザーへの関連付けを解除して、非アクティブ化します。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。別途、仮想デバイスのエンティティも削除する必要があります。

仮想 MFA デバイスエンティティを一覧表示するには

MFA デバイスを再同期するには

AWS が受け入れられないコードをデバイスが生成している場合、以下のコマンドを使用します。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。

IAM で仮想 MFA デバイスのエンティティを削除するには

デバイスのユーザーへの関連付けを解除した後、そのデバイスのエンティティを削除できます。