仮想 MFA デバイスの有効化と管理 (AWS CLI または AWS API)

IAM ユーザーの仮想 MFA デバイスを有効にするには、AWS CLI コマンドまたは AWS API オペレーションを使用します。AWS CLI、AWS API、Tools for Windows PowerShell、またはその他のコマンドラインツールを使用して AWS アカウントのルートユーザー の MFA デバイスを有効にすることはできません。ただし、AWS Management Console を使用して、ルートユーザーの MFA デバイスを有効化することができます。

AWS Management Console から MFA デバイスを有効にすると、コンソールがお客様に代わって複数のステップを実行します。代わりに AWS CLI、Tools for Windows PowerShell、または AWS API を使用して仮想デバイスを作成する場合は、それらのステップを適切な順序で自分で実行する必要があります。たとえば、仮想 MFA デバイスを作成するには、IAM オブジェクトを作成し、文字列または QR コードグラフィックとしてコードを抽出する必要があります。次に、デバイスを IAM ユーザーと同期させて関連付ける必要があります。詳細については、New-IAMVirtualMFADevice の [Examples] (例) セクションを参照してください。物理デバイスの場合は作成ステップを飛ばし、デバイスを同期してユーザーに関連付ける手順へ直接進んでください。

IAM リソース (仮想 MFA デバイスを含む) にタグをアタッチして、タグへのアクセスを特定、整理、制御することができます。仮想 MFA デバイスにタグを付けることができるのは、AWS CLI または AWS API を使用する場合のみです。

SDK または CLI を使用する IAM ユーザーは、EnableMFADevice を呼び出して追加の MFA デバイスを有効にするか、DeactivateMFADevice を呼び出して既存の MFA デバイスを無効にできます。これを正常に行うには、まず GetSessionToken を呼び出し、既存の MFA デバイスで MFA コードを送信する必要があります。この呼び出しで、一時的なセキュリティ認証情報を返されます。この認証情報を使用して、MFA 認証を必要とする API オペレーションに署名できます。リクエストとレスポンスの例については、「GetSessionToken—信頼されていない環境にあるユーザー向けの一時的認証情報」を参照してください。

IAM で仮想デバイスのエンティティを作成し、仮想 MFA デバイスを表すには

これらのコマンドは、次のコマンドの多くでシリアルナンバーの代わりに使用されるデバイスの ARN を提供します。

• AWS CLI: aws iam create-virtual-mfa-device

• AWS API:CreateVirtualMFADevice

AWS を使用するように MFA デバイスを有効にするには

これらのコマンドでは、デバイスを AWS と同期させて、ユーザーと関連付けます。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。

重要

認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。この場合は、次のコマンドを使用してデバイスを再同期できます。

• AWS CLI: aws iam enable-mfa-device

• AWS API:EnableMFADevice

デバイスを無効にするには

以下のコマンドでは、デバイスとユーザーの関連付けを解除し、デバイスを無効化します。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。別途、仮想デバイスのエンティティも削除する必要があります。

• AWS CLI: aws iam deactivate-mfa-device

• AWS API:DeactivateMFADevice

仮想 MFA デバイスエンティティを一覧表示するには

以下のコマンドでは、仮想 MFA デバイスのエンティティを一覧表示します。

• AWS CLI: aws iam list-virtual-mfa-devices

• AWS API:ListVirtualMFADevices

仮想 MFA デバイスにタグを付けるには

仮想 MFA デバイスにタグを付けるには、次のコマンドを使用します。

• AWS CLI: aws iam tag-mfa-device

• AWS API:TagMFADevice

仮想 MFA デバイスのタグを一覧表示するには

仮想 MFA デバイスにアタッチされたタグを一覧表示するには、次のコマンドを使用します。

• AWS CLI: aws iam list-mfa-device-tags

• AWS API:ListMFADeviceTags

仮想 MFA デバイスのタグを解除するには

仮想 MFA デバイスにアタッチされたタグを削除するには、次のコマンドを使用します。

• AWS CLI: aws iam untag-mfa-device

• AWS API:UntagMFADevice

MFA デバイスを再同期するには

AWS が受け入れられないコードをデバイスが生成している場合は、以下のコマンドを使用します。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。

• AWS CLI: aws iam resync-mfa-device

• AWS API:ResyncMFADevice

IAM で仮想 MFA デバイスのエンティティを削除するには

デバイスのユーザーへの関連付けを解除した後、そのデバイスのエンティティを削除できます。

• AWS CLI: aws iam delete-virtual-mfa-device

• AWS API:DeleteVirtualMFADevice

紛失または故障中の仮想 MFA デバイスを復旧するには

仮想化 MFA アプリをホストするユーザーのデバイスが紛失、交換、または機能しなくなることがあります。この場合、ユーザーが自分で復旧することはできません。ユーザーは、デバイスを無効にするために管理者に連絡する必要があります。詳細については、「MFA デバイスの紛失および故障時の対応」を参照してください。