Activation et gestion des dispositifs MFA virtuels (AWS CLI ou API AWS) - AWS Identity and Access Management

Activation et gestion des dispositifs MFA virtuels (AWS CLI ou API AWS)

Vous pouvez utiliser les commandes de la AWS CLI ou les opérations d'API AWS pour activer un dispositif MFA virtuel pour un utilisateur IAM. Vous ne pouvez pas activer un dispositif MFA pour l'utilisateur racine Compte AWS avec la AWS CLI, l'API AWS, Tools for Windows PowerShell, ni avec tout autre outil de ligne de commande. Toutefois, vous pouvez utiliser la AWS Management Console pour activer un dispositif MFA pour l'utilisateur racine.

Lorsque vous activez un dispositif MFA à partir d'AWS Management Console, la console se charge pour vous de plusieurs étapes. En revanche, si vous créez un périphérique virtuel à l'aide de la AWS CLI, des Tools for Windows PowerShell ou de l'API AWS, vous devez exécuter les étapes manuellement et dans l'ordre approprié. Par exemple, pour créer un dispositif MFA virtuel, vous devez créer l'objet IAM et extraire le code sous forme de chaîne ou de graphique de code QR. Ensuite, vous devez synchroniser le périphérique et l'associer à un utilisateur IAM. Consultez la section Exemples de New-IAMVirtualMFADevice pour plus d'informations. Dans le cas d'un périphérique physique, vous ignorez l'étape de création et passez directement à la synchronisation du périphérique et l'association à un utilisateur.

Vous pouvez attacher des balises à vos ressources IAM, y compris les appareils MFA virtuels, pour les identifier, les organiser et contrôler l'accès. Vous pouvez baliser des appareils MFA virtuels uniquement lorsque vous utilisez l'API AWS CLI ou AWS.

Pour créer l'entité de périphérique virtuel dans IAM pour représenter un dispositif MFA virtuel

Ces commandes fournissent un ARN pour le périphérique qui est utilisé à la place du numéro de série dans un grand nombre des commandes suivantes.

Pour activer un dispositif MFA pour utilisation avec AWS

Ces commandes synchronisent le périphérique avec AWS et l'associent à un utilisateur ou à l'utilisateur racine. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série.

Important

Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser l'appareil à l'aide des commandes décrites ci-dessous.

Pour désactiver un périphérique

Utilisez ces commandes pour dissocier le périphérique de l'utilisateur et le désactiver. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série. Vous devez également supprimer l'entité de périphérique virtuel séparément.

Pour afficher la liste des entités de dispositifs MFA virtuels

Utilisez ces commandes pour afficher la liste des entités de dispositifs MFA virtuels.

Pour baliser un appareil MFA virtuel

Utilisez ces commandes pour baliser un appareil MFA virtuel.

Pour répertorier les balises d'un appareil MFA virtuel

Utilisez ces commandes pour répertorier les balises attachées à un appareil MFA virtuel.

Pour supprimer la balise d'un appareil MFA virtuel

Utilisez ces commandes pour supprimer les balises attachées à un appareil MFA virtuel.

Pour resynchroniser un dispositif MFA

Utilisez les commandes suivantes si le périphérique génère des codes qui ne sont pas reconnus par AWS. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série.

Pour supprimer une entité de dispositif MFA virtuel dans IAM

Après avoir dissocié le périphérique de l'utilisateur, vous pouvez supprimer l'entité de périphérique.

Pour récupérer un dispositif MFA virtuel qui est perdu ou ne fonctionne pas

Parfois, l'appareil d'un utilisateur IAM qui héberge l'application MFA virtuelle est perdu, remplacé ou ne fonctionne pas. Dans ce cas, l'utilisateur ne peut pas le récupérer par lui-même. Les utilisateurs IAM doivent contacter un administrateur pour désactiver le périphérique. Pour plus d’informations, veuillez consulter Que faire si un dispositif MFA est perdu ou cesse de fonctionner ?.