Activation et gestion des appareils MFA virtuels (AWS CLI ou AWS API)

Vous pouvez utiliser des AWS CLI commandes ou des opérations d' AWS API pour activer un dispositif MFA virtuel pour un utilisateur IAM. Vous ne pouvez pas activer de périphérique MFA Utilisateur racine d'un compte AWS avec l' AWS API AWS CLI, Tools for Windows PowerShell ou tout autre outil de ligne de commande. Toutefois, vous pouvez utiliser le AWS Management Console pour activer un périphérique MFA pour l'utilisateur root.

Lorsque vous activez un dispositif MFA à partir du AWS Management Console, la console exécute plusieurs étapes pour vous. Si vous créez plutôt un appareil virtuel à l' AWS CLI aide des outils pour Windows PowerShell ou de AWS l'API, vous devez effectuer les étapes manuellement et dans le bon ordre. Par exemple, pour créer un dispositif MFA virtuel, vous devez créer l'objet IAM et extraire le code sous forme de chaîne ou de graphique de code QR. Ensuite, vous devez synchroniser le périphérique et l'associer à un utilisateur IAM. Consultez la section Exemples de New-IAMVirtualMFADevice pour plus d'informations. Dans le cas d'un périphérique physique, vous ignorez l'étape de création et passez directement à la synchronisation du périphérique et l'association à un utilisateur.

Vous pouvez attacher des balises à vos ressources IAM, y compris les appareils MFA virtuels, pour les identifier, les organiser et contrôler l'accès. Vous pouvez étiqueter les appareils MFA virtuels uniquement lorsque vous utilisez l'API AWS CLI or AWS .

Un utilisateur IAM utilisant le kit SDK ou l'interface de ligne de commande peut activer un dispositif MFA supplémentaire en appelant EnableMFADevice ou désactiver un dispositif MFA existant en appelant DeactivateMFADevice. Pour y parvenir, il doit d'abord appeler GetSessionToken et soumettre des codes MFA avec un dispositif MFA existant. Cet appel renvoie des informations d'identification de sécurité temporaires qui peuvent ensuite être utilisées pour signer des opérations d'API nécessitant une authentification MFA. Pour un exemple de demande et de réponse, consultez GetSessionToken : informations d'identification temporaires pour les utilisateurs qui se trouvent dans des environnements non fiables.

Pour créer l'entité de périphérique virtuel dans IAM pour représenter un dispositif MFA virtuel

Ces commandes fournissent un ARN pour le périphérique qui est utilisé à la place du numéro de série dans un grand nombre des commandes suivantes.

AWS CLI: aws iam create-virtual-mfa-device
AWS API : CreateVirtualMFADevice

Pour activer un périphérique MFA à utiliser avec AWS

Ces commandes synchronisent l'appareil avec un utilisateur AWS et l'associent à celui-ci. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série.

Important

Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser l'appareil à l'aide des commandes décrites ci-dessous.

AWS CLI: aws iam enable-mfa-device
AWS API : EnableMFADevice

Pour désactiver un périphérique

Utilisez ces commandes pour dissocier le périphérique de l'utilisateur et le désactiver. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série. Vous devez également supprimer l'entité de périphérique virtuel séparément.

AWS CLI: aws iam deactivate-mfa-device
AWS API : DeactivateMFADevice

Pour afficher la liste des entités de dispositifs MFA virtuels

Utilisez ces commandes pour afficher la liste des entités de dispositifs MFA virtuels.

AWS CLI: aws iam list-virtual-mfa-devices
AWS API : ListVirtualMFADevices

Pour baliser un appareil MFA virtuel

Utilisez ces commandes pour baliser un appareil MFA virtuel.

AWS CLI: aws iam tag-mfa-device
AWS API : TagMFADevice

Pour répertorier les balises d'un appareil MFA virtuel

Utilisez ces commandes pour répertorier les balises attachées à un appareil MFA virtuel.

AWS CLI: aws iam list-mfa-device-tags
AWS API : ListMFADeviceTags

Pour supprimer la balise d'un appareil MFA virtuel

Utilisez ces commandes pour supprimer les balises attachées à un appareil MFA virtuel.

AWS CLI: aws iam untag-mfa-device
AWS API : UntagMFADevice

Pour resynchroniser un dispositif MFA

Utilisez ces commandes si le périphérique génère des codes qui ne sont pas acceptés par AWS. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série.

AWS CLI: aws iam resync-mfa-device
AWS API : ResyncMFADevice

Pour supprimer une entité de dispositif MFA virtuel dans IAM

Après avoir dissocié le périphérique de l'utilisateur, vous pouvez supprimer l'entité de périphérique.

AWS CLI: aws iam delete-virtual-mfa-device
AWS API : DeleteVirtualMFADevice

Pour récupérer un dispositif MFA virtuel qui est perdu ou ne fonctionne pas

Parfois, l'appareil d'un utilisateur qui héberge l'application MFA virtuelle est perdu, remplacé ou ne fonctionne pas. Dans ce cas, l'utilisateur ne peut pas le récupérer par lui-même. L'utilisateur doit contacter un administrateur pour désactiver le dispositif. Pour plus d'informations, voir Que faire si un dispositif MFA est perdu ou cesse de fonctionner ?.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Activation d'un jeton TOTP matériel (console)

Vérification du statut de l'authentification MFA