仮想 MFA デバイスの有効化と管理 (AWS CLI または AWS API) - AWS Identity and Access Management

仮想 MFA デバイスの有効化と管理 (AWS CLI または AWS API)

IAM ユーザーの仮想 MFA デバイスを有効にするには、AWS CLI コマンドまたは AWS API オペレーションを使用します。AWS CLI、AWS API、Tools for Windows PowerShell、またはその他のコマンドラインツールを使用して AWS アカウント の MFA デバイスを有効にすることはできません。ただし、AWS Management Console を使用して、ルートユーザーの MFA デバイスを有効化することができます。

AWS Management Console から MFA デバイスを有効にすると、コンソールがお客様に代わって複数のステップを実行します。代わりに AWS CLI、Tools for Windows PowerShell、または AWS API を使用して仮想デバイスを作成する場合は、それらのステップを適切な順序で自分で実行する必要があります。たとえば、仮想 MFA デバイスを作成するには、IAM オブジェクトを作成し、文字列または QR コードグラフィックとしてコードを抽出する必要があります。次に、デバイスを IAM ユーザーと同期させて関連付ける必要があります。詳細については、New-IAMVirtualMFADevice[Examples] (例) セクションを参照してください。物理デバイスの場合は作成ステップを飛ばし、デバイスを同期してユーザーに関連付ける手順へ直接進んでください。

IAM リソース (仮想 MFA デバイスを含む) にタグをアタッチして、タグへのアクセスを特定、整理、制御することができます。仮想 MFA デバイスにタグを付けることができるのは、AWS CLI または AWS API を使用する場合のみです。

IAM で仮想デバイスのエンティティを作成し、仮想 MFA デバイスを表すには

これらのコマンドは、次のコマンドの多くでシリアルナンバーの代わりに使用されるデバイスの ARN を提供します。

AWS を使用するように MFA デバイスを有効にするには

以下のコマンドでは、デバイスを AWS と同期させて、ユーザーまたはルートユーザーと関連付けます。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。

重要

認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。この場合は、次のコマンドを使用してデバイスを再同期できます。

デバイスを無効にするには

以下のコマンドでは、デバイスとユーザーの関連付けを解除し、デバイスを無効化します。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。別途、仮想デバイスのエンティティも削除する必要があります。

仮想 MFA デバイスエンティティを一覧表示するには

以下のコマンドでは、仮想 MFA デバイスのエンティティを一覧表示します。

仮想 MFA デバイスにタグを付けるには

仮想 MFA デバイスにタグを付けるには、次のコマンドを使用します。

仮想 MFA デバイスのタグを一覧表示するには

仮想 MFA デバイスにアタッチされたタグを一覧表示するには、次のコマンドを使用します。

仮想 MFA デバイスのタグを解除するには

仮想 MFA デバイスにアタッチされたタグを削除するには、次のコマンドを使用します。

MFA デバイスを再同期するには

AWS が受け入れられないコードをデバイスが生成している場合は、以下のコマンドを使用します。デバイスが仮想デバイスの場合、仮想デバイスの ARN をシリアルナンバーとして使用します。

IAM で仮想 MFA デバイスのエンティティを削除するには

デバイスのユーザーへの関連付けを解除した後、そのデバイスのエンティティを削除できます。

紛失または故障中の仮想 MFA デバイスを復旧するには

仮想 MFA アプリをホストする IAM ユーザーのデバイスが紛失、交換、または機能しなくなることがあります。この場合、ユーザーが自分で復旧することはできません。IAM ユーザーは、デバイスを無効にするために管理者に連絡する必要があります。詳細については、「MFA デバイスの紛失および故障時の対応」を参照してください。