メニュー
AWS Identity and Access Management
ユーザーガイド

MFA デバイスの同期

MFA デバイスは同期の対象から外れることがあります。ユーザーが同期をしようとしてもできない場合には、ユーザーのサインインが失敗します。AWS マネジメントコンソールにサインインするために MFA デバイスを使用している場合、IAM はデバイスの再同期を行うかどうかをユーザーに確認します。

IAM コンソール

コンソールを使用してユーザーの MFA デバイスを再同期するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択してから、MFA デバイスを再同期する必要があるユーザーの名前を選択します。

  3. [Security credentials] タブを選択します。[Assigned MFA device] の横にある鉛筆アイコン ( )をクリックします。

  4. Manage MFA Device ウィザードで [Resynchronize MFA device] を選択してから [Next Step] を選択します。

  5. デバイスで連続して生成された次の 2 つのコードを [Authentication Code 1] および [Authentication Code 2] に入力します。その後、[Next Step] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、リクエスト処理中に見えますが、デバイスは同期されていません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

AWS CLI

AWS CLI: aws iam resync-mfa-device

  • 仮想 MFA デバイス: デバイスの Amazon リソースネーム(ARN)を SerialNumber として入力します。

    Copy
    $ aws iam resync-mfa-device --user-name Bob --serial-number arn:aws:iam::123456789012:mfa/BobsMFA --authentication-code-1 123456 --authentication-code-2 987654
  • 物理的な MFA デバイス: 物理デバイスのシリアルナンバーを SerialNumber として指定します。形式はベンダーによって異なります。

    Copy
    PS C:\>Sync-IAMMFADevice -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Bob

重要

コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合は、コードの有効期間が短いためリクエストは送信されません。

Tools for Windows PowerShell

Tools for Windows PowerShell: Sync-IAMMFADevice

  • 仮想 MFA デバイス: デバイスの Amazon リソースネーム(ARN)を SerialNumber として入力します。

    Copy
    PS C:\>Sync-IAMMFADevice -UserName Bob -SerialNumber arn:aws:iam::123456789012:mfa/BobsMFA -AuthenticationCode1 123456 -AuthenticationCode2 987654
  • 物理的な MFA デバイス: 物理デバイスのシリアルナンバーを SerialNumber として指定します。形式はベンダーによって異なります。

    Copy
    PS C:\>Sync-IAMMFADevice -UserName Bob -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654

重要

コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、リクエスト処理中に見えますが、デバイスは同期されていません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

IAM API

API を使用して作業を行いたいユーザーのために、IAM には同期を実行する API コールがあります。この場合、MFA ユーザーに API コールへのアクセス権限を付与しておくことを推奨します。その API コールを元にツールを用意して、ユーザーが使用しているデバイスで再同期を好きな時に行えるようにします。

IAM API: ResyncMFADevice