AWS Identity and Access Management
ユーザーガイド

仮想 MFA デバイスの有効化と管理 (AWS CLI または AWS API)

IAM ユーザーの仮想 MFA デバイスを有効にするには、AWS CLI コマンドまたは AWS API オペレーションを使用します。AWS CLI、AWS API、Tools for Windows PowerShell、またはその他のコマンドラインツールを使用して AWS アカウントのルートユーザー の MFA デバイスを有効にすることはできません。ただし、AWS マネジメントコンソール を使用して、ルートユーザー の MFA デバイスを有効化することができます。

AWS マネジメントコンソール から MFA デバイスを有効にすると、コンソールがお客様に代わって複数のステップを実行します。代わりに AWS CLI、Tools for Windows PowerShell、または AWSAPI を使用して仮想デバイスを作成する場合は、それらのステップを適切な順序で自分で実行しなければなりません。たとえば、仮想 MFA デバイスを作成するには、IAM オブジェクトを作成し、文字列または QR コードグラフィックとしてコードを抽出する必要があります。次に、デバイスを IAM ユーザーと同期させて関連付ける必要があります。詳細については、New-IAMVirtualMFADevice の「Examples」セクションを参照してください。物理デバイスの場合は作成ステップを飛ばし、デバイスを同期してユーザーに関連付ける手順へ直接進んでください。

IAM で仮想デバイスのエンティティを作成し、仮想 MFA デバイスを表すには

これらのコマンドは、次のコマンドの多くでシリアルナンバーの代わりに使用されるデバイスの ARN を提供します。

AWS を使用するように MFA デバイスを有効にするには

以下のコマンドでは、デバイスを AWS と同期させて、ユーザーまたは ルートユーザー と関連付けます。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。

重要

認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。この場合は、次のコマンドを使用してデバイスを再同期できます。

デバイスを無効にするには

以下のコマンドでは、デバイスとユーザーの関連付けを解除し、デバイスを無効化します。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。別途、仮想デバイスのエンティティも削除する必要があります。

仮想 MFA デバイスエンティティを一覧表示するには

以下のコマンドでは、仮想 MFA デバイスのエンティティを一覧表示します。

MFA デバイスを再同期するには

AWS が受け入れられないコードをデバイスが生成している場合は、以下のコマンドを使用します。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。

IAM で仮想 MFA デバイスのエンティティを削除するには

デバイスのユーザーへの関連付けを解除した後、そのデバイスのエンティティを削除できます。