Activación y administración de dispositivos de MFA virtuales (API de AWS CLI o de AWS) - AWS Identity and Access Management

Activación y administración de dispositivos de MFA virtuales (API de AWS CLI o de AWS)

Puede utilizar comandos de la AWS CLI u operaciones de la API de AWS para habilitar un dispositivo MFA virtual para un usuario de IAM. No es posible habilitar un dispositivo MFA para el Usuario de la cuenta raíz de AWS con la AWS CLI, la API de AWS, las Herramientas para Windows PowerShell ni ninguna otra herramienta de línea de comandos. Sin embargo, puede usar la Consola de administración de AWS para habilitar un dispositivo MFA para usuario raíz.

Al habilitar un dispositivo MFA desde la Consola de administración de AWS, esta ejecuta varias operaciones automáticamente. En cambio, si crea un dispositivo virtual utilizando la AWS CLI, las Herramientas para Windows PowerShell o la API de AWS, entonces deberá realizar los pasos manualmente y en el orden correcto. Por ejemplo, para crear un dispositivo de MFA virtual, debe crear el objeto de IAM y extraer el código como una cadena o un código QR gráfico. A continuación, debe sincronizar el dispositivo y asociarlo con un usuario de IAM. Consulte la sección Examples de New-IAMVirtualMFADevice para obtener más detalles. Para un dispositivo físico, puede omitir el paso de creación e ir directamente a sincronizar el dispositivo y asociarlo con el usuario.

Para crear la entidad del dispositivo virtual en IAM para representar un dispositivo de MFA virtual

Estos comandos proporcionan un ARN para el dispositivo que se utiliza en lugar de un número de serie en muchos de los siguientes comandos.

Para activar un dispositivo de MFA para su uso con AWS

Estos comandos sincronizan el dispositivo con AWS y lo asocian con un usuario o el usuario raíz. Si el dispositivo es virtual, utilice el ARN del dispositivo virtual como número de serie.

importante

Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede resincronizar el dispositivo utilizando los comandos que se describen a continuación.

Para desactivar un dispositivo

Utilice estos comandos para desvincular el dispositivo del usuario y desactivarlo. Si el dispositivo es virtual, utilice el ARN del dispositivo virtual como número de serie. Asimismo, debe eliminar la entidad de dispositivo virtual por separado.

Para crear una lista de entidades de dispositivo de MFA virtual

Utilice estos comandos para una lista de entidades de dispositivo de MFA virtual.

Para resincronizar un dispositivo de MFA

Utilice estos comandos si el dispositivo genera códigos que AWS no acepta. Si el dispositivo es virtual, utilice el ARN del dispositivo virtual como número de serie.

Para eliminar una entidad de dispositivo de MFA virtual en IAM

En cuanto el dispositivo se desvincule del usuario, puede eliminar la entidad de dispositivo.

Para recuperar un dispositivo MFA virtual perdido o que no funciona

A veces, el dispositivo de un usuario de IAM que aloja la aplicación de MFA virtual se pierde, se reemplaza o no funciona. Cuando esto sucede, el usuario no puede recuperarlo por sí mismo. Los usuarios de IAM deben ponerse en contacto con el administrador para desactivar el dispositivo. Para obtener más información, consulte ¿Qué pasa si un dispositivo MFA se pierde o deja de funcionar?.