Resynchronisation de dispositifs MFA virtuels et matériels - AWS Identity and Access Management

Resynchronisation de dispositifs MFA virtuels et matériels

Vous pouvez utiliser AWS resynchroniser vos périphériques d'authentification multi-facteurs (MFA) matériels et virtuels. Si votre dispositif n'est pas synchronisé lorsque vous essayez de l'utiliser, la tentative de connexion échoue et IAM vous invite à resynchroniser le dispositif.

Note

Les clés de sécurité U2F ne se désynchronisent pas. Si une clé de sécurité U2F est perdue ou endommagée, vous pouvez la désactiver. Pour plus d'informations sur la désactivation de tout type de dispositif MFA, consultez Pour désactiver un dispositif MFA pour un autre utilisateur IAM (console).

En tant qu'administrateur AWS, vous pouvez resynchroniser les dispositifs MFA virtuels et matériels désynchronisés de votre utilisateur IAM.

Si votre dispositif MFA d'utilisateur racine Compte AWS ne fonctionne pas, vous pouvez le resynchroniser à l'aide de la console IAM en effectuant ou en n'effectuant pas la procédure d'identification.

Autorisations nécessaires

Pour resynchroniser des dispositifs MFA matériels ou virtuels pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante : cette politique ne vous permet pas de créer ou désactiver un périphérique.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListActions", "Effect": "Allow", "Action": [ "iam:ListVirtualMFADevices" ], "Resource": "*" }, { "Sid": "AllowUserToViewAndManageTheirOwnUserMFA", "Effect": "Allow", "Action": [ "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "BlockAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Resynchronisation des dispositifs MFA matériels et virtuels (console IAM)

Vous pouvez utiliser la console IAM pour resynchroniser les dispositifs virtuels du matériel MFA.

Pour resynchroniser un dispositif MFA matériel ou virtuel pour votre propre utilisateur IAM (console)

  1. Utilisez votre ID ou alias de compte AWS, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console IAM.

    Note

    Pour plus de commodité, la page de connexion à AWS utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et vos informations de compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, choisissez Se connecter à un compte différent en bas de la page pour revenir à la page de connexion principale. Sur cette page, vous pouvez saisir votre ID ou alias de compte AWS pour être redirigé vers la page de connexion de l'utilisateur IAM de votre compte.

    Pour obtenir votre ID de compte AWS, contactez votre administrateur.

  2. Dans la barre de navigation en haut à droite, choisissez votre nom d'utilisateur, puis My Security Credentials (Mes informations d'identification de sécurité).

    
                  Lien My Security Credentials (Mes informations d'identification de sécurité) de la Console de gestion AWS
  3. Dans l'onglet AWS IAM credentials (Informations d'identification AWS IAM), sous la section Multi-factor authentication (Authentification multi-facteur), sélectionnez Manage MFA device (Gérer le dispositif MFA).

  4. Dans l'assistant Manage MFA device (Gérer le dispositif MFA), sélectionnez Resync (Resynchroniser), puis Continue (Continuer).

  5. Entrez les deux prochains codes générés séquentiellement à partir du périphérique dans les champs MFA code 1 et MFA code 2. Choisissez ensuite Continue (Continuer).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, cette dernière semble fonctionner mais l'appareil reste désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période.

Pour resynchroniser un dispositif MFA matériel ou virtuel pour un autre utilisateur IAM (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Utilisateurs, puis sélectionnez le nom de l'utilisateur dont le dispositif MFA doit être resynchronisé.

  3. Choisissez l'onglet Informations d'identification de sécurité. En regard de Assigned MFA device (Dispositif MFA affecté), choisissez Manage (Gérer).

  4. Dans l'assistant Manage MFA device (Gérer le dispositif MFA), sélectionnez Resync (Resynchroniser), puis Continue (Continuer).

  5. Entrez les deux prochains codes générés séquentiellement à partir du périphérique dans les champs MFA code 1 et MFA code 2. Choisissez ensuite Continue (Continuer).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, cette dernière semble fonctionner mais l'appareil reste désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période.

Pour resynchroniser votre dispositif MFA d'utilisateur racine avant la connexion (console)

  1. Sur la page Amazon Web Services Sign In With Authentication Device (Connexion à Amazon Web Services à l'aide de MFA), sélectionnez Having problems with your authentication device? (Problèmes avec votre périphérique d'authentification ?) Click here (Cliquez ici.

    Note

    Il se peut que vous constatiez des textes différents, tels que Se connecter à l'aide de MFA et Dépanner votre appareil d'authentification. Toutefois, les mêmes fonctions sont fournies.

  2. Dans la section Re-Sync With Our Servers (Resynchroniser avec nos serveurs), entrez les deux prochains codes générés séquentiellement à partir du périphérique dans les champs MFA code 1 et MFA code 2. Ensuite, choisissez Re-sync authentication device (Resynchroniser l'appareil d'authentification).

  3. Si besoin, saisissez à nouveau votre mot de passe et choisissez Sign in (Connexion). Ensuite, procédez à la connexion à l'aide de votre dispositif MFA.

Pour resynchroniser votre dispositif MFA d'utilisateur racine après la connexion (console)

  1. Connectez-vous à la console IAM en tant que propriétaire du compte en choisissant Root user (Utilisateur racine) et en saisissant l'adresse e-mail de votre Compte AWS . Sur la page suivante, saisissez votre mot de passe.

    Note

    Si trois zones de texte s'affichent, vous vous êtes déjà connecté à la console avec les informations d'identification d'utilisateur . Votre navigateur peut mémoriser cette préférence et ouvrir cette page de connexion spécifique au compte chaque fois que vous essayez de vous connecter. Vous ne pouvez pas utiliser la page de connexion d'utilisateur pour vous connecter en tant que propriétaire du compte. Si la page de connexion d'utilisateur IAM s'affiche, choisissez Se connecter à l'aide de la messagerie utilisateur racine en bas de la page. Vous êtes alors redirigé vers la page de connexion principale. Sur cette page, vous pouvez vous connecter en tant qu'utilisateur racine, en utilisant votre adresse e-mail et le mot de passe Compte AWS .

  2. À droite de la barre de navigation, sélectionnez le nom de votre compte, puis My Security Credentials (Mes informations d'identification de sécurité). Au besoin, choisissez Passer aux informations d'identification de sécurité.

    
                  Mes informations d'identification de sécurité dans le menu de navigation
  3. Sur la page, développez la section Multi-factor authentication (MFA) (Authentification multi-facteurs (MFA)).

  4. En regard de votre dispositif MFA actif, choisissez Resync (Resynchroniser).

  5. Dans la boîte de dialogue Manage MFA device (Gérer le dispositif MFA), entrez les deux prochains codes générés séquentiellement à partir du périphérique dans les champs MFA code 1 et MFA code 2. Choisissez ensuite Continue (Continuer).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes, puis attendez trop longtemps avant d'envoyer la demande, le dispositif MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période.

Resynchronisation de dispositifs MFA virtuels et matériels (AWS CLI)

Vous pouvez utiliser l' pour resynchroniser les périphériques virtuels du matériel MFA AWS CLI.

Pour resynchroniser un dispositif MFA virtuel ou matériel pour un utilisateur IAM (AWS CLI)

En réponse à une invite de commande, émettez la commande aws iam resync-mfa-device :

  • Dispositif MFA virtuel : spécifiez l'ARN (Amazon Resource Name) du périphérique en tant que numéro de série.

    aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654
  • Dispositif MFA matériel : spécifiez le numéro de série du périphérique matériel en tant que numéro de série. Le format est spécifique au fournisseur. Par exemple, vous pouvez acheter un jeton gemalto auprès d'Amazon. Son numéro de série est généralement composé de quatre lettres suivies de quatre chiffres.

    aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
Important

Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, cette dernière échoue car les codes expirent après une courte période.

Resynchronisation de dispositifs MFA virtuels et matériels (API AWS)

IAM dispose d'un appel d'API qui effectue la synchronisation. Dans ce cas, nous vous recommandons d'accorder à vos utilisateurs de dispositifs MFA virtuels et matériels l'autorisation d'accès à cet appel d'API. Créez ensuite un outil basé sur cet appel d'API afin que vos utilisateurs puissent resynchroniser leurs périphériques chaque fois que cela est nécessaire.

Pour resynchroniser un dispositif MFA virtuel ou matériel pour un utilisateur IAM (API AWS)