Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
MFAGeräte im AWS CLI oder zuweisen AWS API
Sie können AWS CLI Befehle oder AWS API Operationen verwenden, um ein virtuelles MFA Gerät für einen IAM Benutzer zu aktivieren. Sie können ein MFA Gerät nicht Root-Benutzer des AWS-Kontos mit den AWS CLI, AWS API, Tools für Windows PowerShell oder einem anderen Befehlszeilentool für aktivieren. Sie können das jedoch verwenden, AWS Management Console um ein MFA Gerät für den Root-Benutzer zu aktivieren.
Wenn Sie ein MFA Gerät von der aus aktivieren AWS Management Console, führt die Konsole mehrere Schritte für Sie aus. Wenn Sie stattdessen mithilfe der AWS CLI Tools für Windows PowerShell oder ein virtuelles Gerät erstellen AWS API, müssen Sie die Schritte manuell und in der richtigen Reihenfolge ausführen. Um beispielsweise ein virtuelles MFA Gerät zu erstellen, müssen Sie das IAM Objekt erstellen und den Code entweder als Zeichenfolge oder als QR-Code-Grafik extrahieren. Anschließend müssen Sie das Gerät synchronisieren und es einem IAM Benutzer zuordnen. Weitere Informationen finden Sie im Abschnitt Beispiele von New- IAMVirtualMFADevice. Bei physischen Geräten können Sie den Erstellungsschritt überspringen und das Gerät direkt synchronisieren und dem Benutzer zuordnen.
Sie können Tags an Ihre IAM Ressourcen, einschließlich virtueller MFA Geräte, anhängen, um sie zu identifizieren, zu organisieren und den Zugriff darauf zu kontrollieren. Sie können virtuelle MFA Geräte nur taggen, wenn Sie das AWS CLI oder verwenden AWS API.
Ein IAM Benutzer, der das SDK oder verwendet, CLI kann ein zusätzliches MFA Gerät aktivieren, indem er anruft, EnableMFADeviceoder ein vorhandenes MFA Gerät durch einen Anruf deaktivieren DeactivateMFADevice. Um dies erfolgreich zu tun, muss er zunächst mit einem vorhandenen MFA Gerät anrufen GetSessionTokenund MFA Codes einreichen. Dieser Aufruf gibt temporäre Sicherheitsanmeldeinformationen zurück, die dann zum Signieren von API Vorgängen verwendet werden können, für die eine MFA Authentifizierung erforderlich ist. Ein Beispiel für Anforderung und Antwort finden Sie unter GetSessionToken – Temporäre Anmeldeinformationen für Benutzer in nicht vertrauenswürdigen Umgebungen.
Um die virtuelle Geräteentität zu erstellenIAM, um ein virtuelles MFA Gerät darzustellen
Diese Befehle stellen ein ARN für das Gerät bereit, das in vielen der folgenden Befehle anstelle einer Seriennummer verwendet wird.
-
AWS CLI:
aws iam create-virtual-mfa-device -
AWS API:
CreateVirtualMFADevice
Um ein MFA Gerät für die Verwendung mit zu aktivieren AWS
Mit diesen Befehlen wird das Gerät mit einem Benutzer synchronisiert AWS und diesem zugeordnet. Wenn es sich um ein virtuelles Gerät handelt, verwenden Sie die ARN des virtuellen Geräts als Seriennummer.
Wichtig
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes generieren und dann zu lange warten, um die Anfrage zu senden, verbindet sich das MFA Gerät erfolgreich mit dem Benutzer, aber das MFA Gerät ist nicht mehr synchron. Dies liegt daran, dass zeitbasierte Einmalkennwörter (TOTP) nach kurzer Zeit ablaufen. Führen Sie in diesem Fall mithilfe der unten beschriebenen Befehle eine erneute Synchronisierung durch.
-
AWS CLI:
aws iam enable-mfa-device -
AWS API:
EnableMFADevice
So deaktivieren Sie ein Gerät
Mit diesen Befehlen heben Sie die Zuordnung des Geräts zu einem Benutzer auf und deaktivieren es. Wenn das Gerät virtuell ist, verwenden Sie die Nummer ARN des virtuellen Geräts als Seriennummer. Außerdem müssen Sie die virtuelle Geräteeinheit separat löschen.
-
AWS CLI:
aws iam deactivate-mfa-device -
AWS API:
DeactivateMFADevice
Um virtuelle MFA Geräteentitäten aufzulisten
Verwenden Sie diese Befehle, um virtuelle MFA Geräteentitäten aufzulisten.
-
AWS CLI:
aws iam list-virtual-mfa-devices -
AWS API:
ListVirtualMFADevices
Um ein virtuelles MFA Gerät zu taggen
Verwenden Sie diese Befehle, um ein virtuelles MFA Gerät zu taggen.
-
AWS CLI:
aws iam tag-mfa-device -
AWS API:
TagMFADevice
Um Tags für ein virtuelles MFA Gerät aufzulisten
Verwenden Sie diese Befehle, um die an ein virtuelles MFA Gerät angehängten Tags aufzulisten.
-
AWS CLI:
aws iam list-mfa-device-tags -
AWS API:
ListMFADeviceTags
Um die Markierung eines virtuellen Geräts aufzuheben MFA
Verwenden Sie diese Befehle, um Tags zu entfernen, die an ein virtuelles MFA Gerät angehängt sind.
-
AWS CLI:
aws iam untag-mfa-device -
AWS API:
UntagMFADevice
Um ein MFA Gerät neu zu synchronisieren
Verwenden Sie diese Befehle, wenn das Gerät Codes generiert, die von AWS nicht akzeptiert werden. Wenn das Gerät virtuell ist, verwenden Sie die ARN des virtuellen Geräts als Seriennummer.
-
AWS CLI:
aws iam resync-mfa-device -
AWS API:
ResyncMFADevice
Um eine virtuelle MFA Geräteentität zu löschen in IAM
Nachdem Sie die Gerätezuordnung zu einem Benutzer aufgehoben haben, können Sie die Geräteeinheit löschen.
-
AWS CLI:
aws iam delete-virtual-mfa-device -
AWS API:
DeleteVirtualMFADevice
Um ein virtuelles MFA Gerät wiederherzustellen, das verloren gegangen ist oder nicht funktioniert
Manchmal geht das Gerät eines Benutzers, das die virtuelle MFA App hostet, verloren, wird ersetzt oder funktioniert nicht. Wenn dies der Fall ist, kann der Benutzer es nicht selbst wiederherstellen. Der Benutzer muss sich zur Deaktivierung des Geräts an einen Administrator wenden. Weitere Informationen finden Sie unter Stellen Sie eine MFA geschützte Identität wieder her in IAM.
