Activación y administración de dispositivos de MFA virtuales (API de AWS CLI o de AWS)

Puede utilizar comandos de la AWS CLI u operaciones de la API de AWS para habilitar un dispositivo MFA virtual para un usuario de IAM. No es posible habilitar un dispositivo MFA para el Usuario raíz de la cuenta de AWS con la AWS CLI, la API de AWS, las herramientas para Windows PowerShell ni con ninguna otra herramienta de línea de comandos. Sin embargo, puede utilizar la AWS Management Console para habilitar un dispositivo MFA para el usuario raíz.

Al habilitar un dispositivo MFA desde la AWS Management Console, esta ejecuta varias operaciones automáticamente. En cambio, si crea un dispositivo virtual utilizando la AWS CLI, las Tools for Windows PowerShell o la API de AWS, entonces deberá realizar los pasos manualmente y en el orden correcto. Por ejemplo, para crear un dispositivo MFA virtual, debe crear el objeto de IAM y extraer el código como una cadena o un código QR gráfico. A continuación, debe sincronizar el dispositivo y asociarlo con un usuario de IAM. Consulte la sección Examples de New-IAMVirtualMFADevice para obtener más detalles. Para un dispositivo físico, puede omitir el paso de creación e ir directamente a sincronizar el dispositivo y asociarlo con el usuario.

Puede asociar etiquetas a los recursos de IAM, incluidos los dispositivos MFA virtuales, a fin de identificar, organizar y controlar el acceso a ellos. Puede etiquetar dispositivos MFA virtuales solo cuando utiliza la AWS CLI o la API de AWS.

Un usuario de IAM que utilice el SDK o la CLI puede habilitar un dispositivo MFA adicional llamando a EnableMFADevice o desactivar un dispositivo MFA existente mediante una llamada a DeactivateMFADevice. Para hacerlo correctamente, primero deben llamar a GetSessionToken y enviar los códigos MFA con un dispositivo MFA existente. Esta llamada devuelve credenciales de seguridad temporales que luego se pueden usar para firmar las operaciones de API que requieren la autenticación MFA. Para ver un ejemplo de solicitud y respuesta, consulte GetSessionToken: credenciales temporales para usuarios de entornos que no son de confianza.

Para crear la entidad del dispositivo virtual en IAM para representar un dispositivo de MFA virtual

Estos comandos proporcionan un ARN para el dispositivo que se utiliza en lugar de un número de serie en muchos de los siguientes comandos.

AWS CLI: aws iam create-virtual-mfa-device
API de AWS: CreateVirtualMFADevice

Para habilitar un dispositivo MFA para su uso con AWS

Estos comandos sincronizan el dispositivo con AWS y lo asocian con un usuario. Si el dispositivo es virtual, utilice el ARN del dispositivo virtual como número de serie.

importante

Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede resincronizar el dispositivo utilizando los comandos que se describen a continuación.

AWS CLI: aws iam enable-mfa-device
API de AWS: EnableMFADevice

Para desactivar un dispositivo

Utilice estos comandos para desvincular el dispositivo del usuario y desactivarlo. Si el dispositivo es virtual, utilice el ARN del dispositivo virtual como número de serie. Asimismo, debe eliminar la entidad de dispositivo virtual por separado.

AWS CLI: aws iam deactivate-mfa-device
API de AWS: DeactivateMFADevice

Para crear una lista de entidades de dispositivo de MFA virtual

Utilice estos comandos para una lista de entidades de dispositivo de MFA virtual.

AWS CLI: aws iam list-virtual-mfa-devices
API de AWS: ListVirtualMFADevices

Cómo etiquetar un dispositivo MFA virtual

Utilice estos comandos para etiquetar un dispositivo MFA virtual.

AWS CLI: aws iam tag-mfa-device
API de AWS: TagMFADevice

Enumerar etiquetas para un dispositivo MFA virtual

Utilice estos comandos para enumerar las etiquetas asociadas a un dispositivo MFA virtual.

AWS CLI: aws iam list-mfa-device-tags
API de AWS: ListMFADeviceTags

Quitar etiquetas de un dispositivo MFA virtual

Utilice estos comandos para quitar las etiquetas asociadas a un dispositivo MFA virtual.

AWS CLI: aws iam untag-mfa-device
API de AWS: UntagMFADevice

Para resincronizar un dispositivo de MFA

Utilice estos comandos si el dispositivo genera códigos que AWS no acepta. Si el dispositivo es virtual, utilice el ARN del dispositivo virtual como número de serie.

AWS CLI: aws iam resync-mfa-device
API de AWS: ResyncMFADevice

Para eliminar una entidad de dispositivo MFA virtual en IAM

En cuanto el dispositivo se desvincule del usuario, puede eliminar la entidad de dispositivo.

AWS CLI: aws iam delete-virtual-mfa-device
API de AWS: DeleteVirtualMFADevice

Para recuperar un dispositivo MFA virtual perdido o que no funciona

A veces, el dispositivo de un usuario que aloja la aplicación de MFA virtual se pierde, se reemplaza o no funciona. Cuando esto sucede, el usuario no puede recuperarlo por sí mismo. Los usuarios deben ponerse en contacto con un administrador para desactivar el dispositivo. Para obtener más información, consulte ¿Qué pasa si un dispositivo MFA se pierde o deja de funcionar?.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitar un token TOTP físico (consola)

Comprobación del estado de MFA