Activation et gestion des dispositifs MFA virtuels (AWS CLI ou API AWS)

Vous pouvez utiliser les commandes de la AWS CLI ou les opérations d'API AWS pour activer un dispositif MFA virtuel pour un utilisateur IAM. Vous ne pouvez pas activer un dispositif MFA pour le Utilisateur racine d'un compte AWS avec la AWS CLI, l'API AWS, Tools for Windows PowerShell ou tout autre outil de ligne de commande. Toutefois, vous pouvez utiliser la AWS Management Console pour activer un dispositif MFA pour l'utilisateur racine.

Lorsque vous activez un dispositif MFA à partir d'AWS Management Console, la console se charge pour vous de plusieurs étapes. En revanche, si vous créez un périphérique virtuel à l'aide de la AWS CLI, des Tools for Windows PowerShell ou de l'API AWS, vous devez exécuter les étapes manuellement et dans l'ordre approprié. Par exemple, pour créer un dispositif MFA virtuel, vous devez créer l'objet IAM et extraire le code sous forme de chaîne ou de graphique de code QR. Ensuite, vous devez synchroniser le périphérique et l'associer à un utilisateur IAM. Consultez la section Exemples de New-IAMVirtualMFADevice pour plus d'informations. Dans le cas d'un périphérique physique, vous ignorez l'étape de création et passez directement à la synchronisation du périphérique et l'association à un utilisateur.

Vous pouvez attacher des balises à vos ressources IAM, y compris les appareils MFA virtuels, pour les identifier, les organiser et contrôler l'accès. Vous pouvez baliser des appareils MFA virtuels uniquement lorsque vous utilisez l'API AWS CLI ou AWS.

Un utilisateur IAM utilisant le kit SDK ou l'interface de ligne de commande peut activer un dispositif MFA supplémentaire en appelant EnableMFADevice ou désactiver un dispositif MFA existant en appelant DeactivateMFADevice. Pour y parvenir, il doit d'abord appeler GetSessionToken et soumettre des codes MFA avec un dispositif MFA existant. Cet appel renvoie des informations d'identification de sécurité temporaires qui peuvent ensuite être utilisées pour signer des opérations d'API nécessitant une authentification MFA. Pour un exemple de demande et de réponse, consultez GetSessionToken : informations d'identification temporaires pour les utilisateurs qui se trouvent dans des environnements non fiables.

Pour créer l'entité de périphérique virtuel dans IAM pour représenter un dispositif MFA virtuel

Ces commandes fournissent un ARN pour le périphérique qui est utilisé à la place du numéro de série dans un grand nombre des commandes suivantes.

AWS CLI: aws iam create-virtual-mfa-device
AWS API : CreateVirtualMFADevice

Pour activer un dispositif MFA pour utilisation avec AWS

Ces commandes synchronisent le dispositif avec AWS et l'associent à un utilisateur. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série.

Important

Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser l'appareil à l'aide des commandes décrites ci-dessous.

AWS CLI: aws iam enable-mfa-device
AWS API : EnableMFADevice

Pour désactiver un périphérique

Utilisez ces commandes pour dissocier le périphérique de l'utilisateur et le désactiver. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série. Vous devez également supprimer l'entité de périphérique virtuel séparément.

AWS CLI: aws iam deactivate-mfa-device
AWS API : DeactivateMFADevice

Pour afficher la liste des entités de dispositifs MFA virtuels

Utilisez ces commandes pour afficher la liste des entités de dispositifs MFA virtuels.

AWS CLI: aws iam list-virtual-mfa-devices
AWS API : ListVirtualMFADevices

Pour baliser un appareil MFA virtuel

Utilisez ces commandes pour baliser un appareil MFA virtuel.

AWS CLI: aws iam tag-mfa-device
AWS API : TagMFADevice

Pour répertorier les balises d'un appareil MFA virtuel

Utilisez ces commandes pour répertorier les balises attachées à un appareil MFA virtuel.

AWS CLI: aws iam list-mfa-device-tags
AWS API : ListMFADeviceTags

Pour supprimer la balise d'un appareil MFA virtuel

Utilisez ces commandes pour supprimer les balises attachées à un appareil MFA virtuel.

AWS CLI: aws iam untag-mfa-device
AWS API : UntagMFADevice

Pour resynchroniser un dispositif MFA

Utilisez les commandes suivantes si le périphérique génère des codes qui ne sont pas reconnus par AWS. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série.

AWS CLI: aws iam resync-mfa-device
AWS API : ResyncMFADevice

Pour supprimer une entité de dispositif MFA virtuel dans IAM

Après avoir dissocié le périphérique de l'utilisateur, vous pouvez supprimer l'entité de périphérique.

AWS CLI: aws iam delete-virtual-mfa-device
AWS API : DeleteVirtualMFADevice

Pour récupérer un dispositif MFA virtuel qui est perdu ou ne fonctionne pas

Parfois, l'appareil d'un utilisateur qui héberge l'application MFA virtuelle est perdu, remplacé ou ne fonctionne pas. Dans ce cas, l'utilisateur ne peut pas le récupérer par lui-même. L'utilisateur doit contacter un administrateur pour désactiver le dispositif. Pour de plus amples informations, veuillez consulter Que faire si un dispositif MFA est perdu ou cesse de fonctionner ?.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Activation d'un jeton TOTP matériel (console)

Vérification du statut de l'authentification MFA