メニュー
AWS Identity and Access Management
ユーザーガイド

MFA デバイスの再同期

MFA デバイスは同期の対象から外れることがあります。ユーザーが同期をしようとしてもできない場合には、ユーザーのサインインが失敗します。AWS マネジメントコンソールにサインインするために MFA デバイスを使用している場合、IAM はデバイスの再同期を行うかどうかをユーザーに確認します。

MFA デバイスの再同期 (IAM コンソール)

ユーザーの MFA デバイスを再同期するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択してから、MFA デバイスを再同期する必要があるユーザーの名前を選択します。

  3. [Security credentials] タブを選択します。[Assigned MFA device] の横にある鉛筆アイコン ( )をクリックします。

  4. Manage MFA Device ウィザードで [Resynchronize MFA device] を選択してから [Next Step] を選択します。

  5. デバイスで連続して生成された次の 2 つのコードを [Authentication Code 1] および [Authentication Code 2] に入力します。その後、[Next Step] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、リクエスト処理中に見えますが、デバイスは同期されていません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

MFA デバイスの再同期 (AWS CLI)

ユーザーの MFA デバイスを再同期するには (AWS CLI)

  • コマンドラインプロンプトで、aws iam resync-mfa-device コマンドを発行します。

    • 仮想 MFA デバイス: デバイスの Amazon リソースネーム(ARN)を SerialNumber として入力します。

      Copy
      $ aws iam resync-mfa-device --user-name Bob --serial-number arn:aws:iam::123456789012:mfa/BobsMFA --authentication-code-1 123456 --authentication-code-2 987654
    • 物理的な MFA デバイス: 物理デバイスのシリアルナンバーを SerialNumber として指定します。形式はベンダーによって異なります。

      Copy
      PS C:\>Sync-IAMMFADevice -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Bob

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合は、コードの有効期間が短いためリクエストは送信されません。

Tools for Windows PowerShell

ユーザーの MFA デバイスを再同期するには (Tools for Windows PowerShell)

  • Sync-IAMMFADevice コマンドレットを使用します。

    • 仮想 MFA デバイス: デバイスの Amazon リソースネーム(ARN)を SerialNumber として入力します。

      Copy
      PS C:\>Sync-IAMMFADevice -UserName Bob -SerialNumber arn:aws:iam::123456789012:mfa/BobsMFA -AuthenticationCode1 123456 -AuthenticationCode2 987654
    • 物理的な MFA デバイス: 物理デバイスのシリアルナンバーを SerialNumber として指定します。形式はベンダーによって異なります。

      Copy
      PS C:\>Sync-IAMMFADevice -UserName Bob -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、リクエスト処理中に見えますが、デバイスは同期されていません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

IAM API

IAM には同期を実行する API コールがあります。この場合、MFA ユーザーに API コールへのアクセス権限を付与しておくことを推奨します。その API コールを元にツールを用意して、ユーザーが使用しているデバイスで再同期を好きな時に行えるようにします。

ユーザーの MFA デバイスを再同期するには (API)