Assegna MFA dispositivi in o AWS CLIAWS API

È possibile utilizzare AWS CLI comandi o AWS API operazioni per abilitare un MFA dispositivo virtuale per un IAM utente. Non è possibile abilitare un MFA dispositivo per il Utente root dell'account AWS con AWS CLI, AWS API, Tools for Windows PowerShell o qualsiasi altro strumento da riga di comando. Tuttavia, è possibile utilizzare il AWS Management Console per abilitare un MFA dispositivo per l'utente root.

Quando abiliti un MFA dispositivo da AWS Management Console, la console esegue automaticamente più passaggi. Se invece crei AWS CLI un dispositivo virtuale utilizzando Tools for Windows o PowerShell AWS API, devi eseguire i passaggi manualmente e nell'ordine corretto. Ad esempio, per creare un MFA dispositivo virtuale, è necessario creare l'IAMoggetto ed estrarre il codice sotto forma di stringa o codice QR. È quindi necessario sincronizzare il dispositivo e associarlo a un IAM utente. Vedi la sezione Esempi di New- IAMVirtualMFADevice per maggiori dettagli. Per un dispositivo fisico, si salta la fase di creazione per andare direttamente a sincronizzare il dispositivo e associarlo con l'utente.

Puoi allegare tag alle tue IAM risorse, inclusi MFA i dispositivi virtuali, per identificarle, organizzarle e controllarne l'accesso. È possibile etichettare MFA i dispositivi virtuali solo quando si utilizza AWS CLI o AWS API.

Un IAM utente che utilizza SDK o CLI può abilitare un MFA dispositivo aggiuntivo chiamando EnableMFADeviceo disattivare un MFA dispositivo esistente DeactivateMFADevicechiamando. Per farlo con successo, devono prima chiamare GetSessionTokene inviare MFA codici con un MFA dispositivo esistente. Questa chiamata restituisce credenziali di sicurezza temporanee che possono quindi essere utilizzate per firmare API operazioni che richiedono MFA l'autenticazione. Per un esempio di richiesta e risposta, consulta GetSessionToken: credenziali temporanee per gli utenti in ambienti non attendibili.

Per creare l'entità del dispositivo virtuale in modo IAM da rappresentare un dispositivo virtuale MFA

Questi comandi forniscono un numero ARN per il dispositivo che viene utilizzato al posto di un numero di serie in molti dei seguenti comandi.

AWS CLI: aws iam create-virtual-mfa-device
AWS API: CreateVirtualMFADevice

Per abilitare un MFA dispositivo all'uso con AWS

Questi comandi sincronizzano il dispositivo AWS e lo associano a un utente. Se il dispositivo è virtuale, usa il ARN del dispositivo virtuale come numero di serie.

Importante

La richiesta deve essere inviata immediatamente dopo la generazione dei codici di autenticazione. Se generi i codici e poi attendi troppo a lungo per inviare la richiesta, il MFA dispositivo si associa correttamente all'utente ma il MFA dispositivo non è sincronizzato. Ciò accade perché le password monouso basate sul tempo (TOTP) scadono dopo un breve periodo di tempo. In questo caso, è possibile risincronizzare il dispositivo utilizzando i comandi descritti di seguito.

AWS CLI: aws iam enable-mfa-device
AWS API: EnableMFADevice

Per disattivare un dispositivo

Utilizzare questi comandi per dissociare il dispositivo dall'utente e disattivarlo. Se il dispositivo è virtuale, usa il ARN del dispositivo virtuale come numero di serie. È inoltre necessario eliminare separatamente l'entità del dispositivo virtuale.

AWS CLI: aws iam deactivate-mfa-device
AWS API: DeactivateMFADevice

Per elencare le entità MFA del dispositivo virtuale

Usa questi comandi per elencare le entità dei MFA dispositivi virtuali.

AWS CLI: aws iam list-virtual-mfa-devices
AWS API: ListVirtualMFADevices

Per etichettare un MFA dispositivo virtuale

Usa questi comandi per etichettare un MFA dispositivo virtuale.

AWS CLI: aws iam tag-mfa-device
AWS API: TagMFADevice

Per elencare i tag per un MFA dispositivo virtuale

Usa questi comandi per elencare i tag associati a un MFA dispositivo virtuale.

AWS CLI: aws iam list-mfa-device-tags
AWS API: ListMFADeviceTags

Per rimuovere i tag da un dispositivo virtuale MFA

Usa questi comandi per rimuovere i tag allegati a un MFA dispositivo virtuale.

AWS CLI: aws iam untag-mfa-device
AWS API: UntagMFADevice

Per risincronizzare un dispositivo MFA

Utilizzate questi comandi se il dispositivo genera codici che non sono accettati da. AWS Se il dispositivo è virtuale, usa il ARN del dispositivo virtuale come numero di serie.

AWS CLI: aws iam resync-mfa-device
AWS API: ResyncMFADevice

Per eliminare un'entità di MFA dispositivo virtuale in IAM

Dopo che il dispositivo è stato dissociato da parte dell'utente, è possibile eliminare l'entità del dispositivo.

AWS CLI: aws iam delete-virtual-mfa-device
AWS API: DeleteVirtualMFADevice

Per ripristinare un MFA dispositivo virtuale perso o non funzionante

A volte, il dispositivo di un utente che ospita l'MFAapp virtuale viene perso, sostituito o non funziona. Quando ciò si verifica, l'utente non può recuperarlo autonomamente. L'utente deve contattare un amministratore per disattivare il dispositivo. Per ulteriori informazioni, consulta Recupera un'identità MFA protetta in IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Assegna un token hardware TOTP

Verifica MFA lo stato