仮想デバイスとハードウェア MFA デバイスの再同期 - AWS Identity and Access Management
必要なアクセス許可仮想およびハードウェア MFA デバイスの再同期 (IAM コンソール)仮想およびハードウェア MFA デバイスの再同期 (AWS CLI)仮想およびハードウェア MFA デバイスの再同期 (AWS API)

仮想デバイスとハードウェア MFA デバイスの再同期

AWS コンソールを使用して、仮想およびハードウェア Multi-Factor Authentication (MFA) デバイスを再同期できます。ユーザーのデバイスが使用しようとしたときに同期されていない場合、ユーザーのサインインは失敗し、IAM はユーザーにデバイスの再同期を促します。

注記

U2F セキュリティキーは同期しなくなることはありません。U2F セキュリティキーが紛失または破損した場合は、U2F セキュリティキーを非アクティブにすることができます。MFA デバイスタイプを無効にする方法については、「別の IAM ユーザーの MFA デバイスを無効化するには (コンソール)」を参照してください。

AWS 管理者は、IAM ユーザーの仮想およびハードウェア MFA デバイスがシステムと同期されていない場合、それらのデバイスを再同期できます。

AWS アカウントのルートユーザー MFA デバイスが動作していない場合は、IAM コンソールを使用してデバイスを再同期することができます。

必要なアクセス許可

独自の IAM ユーザーに対して仮想またはハードウェア MFA デバイスを再同期するには、次のポリシーのアクセス許可が必要です。このポリシーでは、デバイスを作成または無効にすることはできません。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "BlockAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

仮想およびハードウェア MFA デバイスの再同期 (IAM コンソール)

IAM コンソールを使用して、仮想およびハードウェア MFA デバイスを再同期できます。

独自の IAM ユーザーの仮想またはハードウェア MFA デバイスを再同期するには (コンソール)

  1. AWS アカウント ID またはアカウントエイリアス、IAM ユーザー名、およびパスワードを使用して IAM コンソールにサインインします。

    注記

    便宜のために、AWS サインインページではブラウザの Cookie を使用して、IAM ユーザー名とアカウント情報を記憶しています。以前に別のユーザーとしてサインインしていた場合は、ページの下部にある [Sign in to a different account (別のアカウントにサインイン)] を選択して、メインのサインインページに戻ります。そこから AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトすることができます。

    AWS アカウント ID を取得するには、管理者にお問い合わせください。

  2. 右上のナビゲーションバーでユーザー名を選択し、続いて [My Security Credentials (セキュリティ認証情報)] を選択します。

    AWS マネジメントコンソールの [My Security Credentials (セキュリティ認証情報)] リンク

  3. [AWS IAM 認証情報] タブの [Multi-Factor Authentication] セクションで、[MFA デバイスの管理] を選択します。

  4. [MFA デバイスの管理] ウィザードで、[Resync (再同期)]、[Continue (続行)] の順に選択します。

  5. デバイスで連続して生成された次の 2 つのコードを [MFA コード 1] および [MFA コード 2] に入力します。入力したら、[Continue] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、リクエスト処理中に見えますが、デバイスは同期されていません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

別の IAM ユーザーの仮想またはハードウェア MFA デバイスを再同期するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ユーザー] を選択してから、MFA デバイスを再同期する必要があるユーザーの名前を選択します。

  3. [Security credentials] タブを選択します。[Assigned MFA device (割り当て済み MFA デバイス)] の横で、[管理] を選択します。

  4. [MFA デバイスの管理] ウィザードで、[Resync (再同期)]、[Continue (続行)] の順に選択します。

  5. デバイスで連続して生成された次の 2 つのコードを [MFA コード 1] および [MFA コード 2] に入力します。入力したら、[Continue] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、リクエスト処理中に見えますが、デバイスは同期されていません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

サインインする前に ルートユーザー MFA を再同期するには (コンソール)

  1. [Amazon Web Services Sign In With Authentication Device (認証デバイスによるアマゾン ウェブ サービスへのサインイン)] ページで、[認証デバイスに問題がありますか? ここをクリックしてください] を選択します。

    注記

    他のテキスト (例: MFA を使用してサインイン認証デバイスのトラブルシューティング) が表示される場合があります。ただし、提供されている機能は同じです。

  2. [Re-Sync With Our Servers (サーバーとの再同期)] セクションで、デバイスで連続して生成された次の 2 つのコードを [MFA code 1 (MFA コード 1)] および [MFA code 2 (MFA コード 2)] に入力します。次に、[Re-sync authentication device (認証デバイスの再同期)] を選択します。

  3. 必要に応じて、パスワードをもう一度入力し、[サインイン] を選択します。次に、MFA デバイスを使用してサインインを完了します。

サインインした後に ルートユーザー MFA デバイスを再同期するには (コンソール)

  1. ルートユーザー を選択し AWS アカウントの E メールアドレスを入力して、アカウントの所有者としてIAM コンソールにサインインします。次のページでパスワードを入力します。

    注記

    3 つのテキストボックスが表示される場合、以前に IAM ユーザー認証情報でコンソールにサインインしました。ブラウザでこの設定が記憶され、サインインを試みるたびにこのアカウント固有のサインインページが開く場合があります。IAM ユーザーのサインインページを使用して、アカウント所有者としてサインインすることはできません。IAM ユーザーのサインインページが表示されたら、ページの下部にある [Sign in using ルートユーザー email (ルートユーザー の E メールを使用してサインイン)] を選択します。これにより、メインのサインインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを使用して、ルートユーザー としてサインインできます。

  2. オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[My Security Credentials (セキュリティ認証情報)] を選択します。必要に応じて、[セキュリティ認証情報に進む] を選択します。

    ナビゲーションメニューの [認証情報]

  3. ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

  4. アクティブな MFA デバイスの横にある [Resync (再同期)] を選択します。

  5. [MFA デバイスの管理] ダイアログで、デバイスで連続して生成された次の 2 つのコードを [MFA code 1 (MFA コード 1)] および [MFA code 2 (MFA コード 2)] に入力します。入力したら、[Continue] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期しません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

仮想およびハードウェア MFA デバイスの再同期 (AWS CLI)

AWS CLI から仮想およびハードウェア MFA デバイスを再同期できます。

IAM ユーザーの仮想 MFA デバイスまたはハードウェア MFA デバイスを再同期するには (AWS CLI)

コマンドラインプロンプトで、aws iam resync-mfa-device コマンドを発行します。

  • 仮想 MFA デバイス: デバイスの Amazon リソースネーム(ARN)をシリアル番号として入力します。

    $ aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code-1 123456 --authentication-code-2 987654

  • ハードウェア MFA デバイス: ハードウェアデバイスのシリアル番号をシリアル番号として指定します。形式はベンダー固有です。たとえば、Amazon から gemalto トークンを購入できます。シリアル番号は通常、4 つの文字の後に 4 つの数字が続きます。 

    $ aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code-1 123456 --authentication-code-2 987654
重要

コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合は、コードの有効期間が短いためリクエストは送信されません。

仮想およびハードウェア MFA デバイスの再同期 (AWS API)

IAM には同期を実行する API コールがあります。この場合、仮想およびハードウェア MFA デバイスユーザーにこの API コールに対するアクセス許可を付与することをお勧めします。API コールに基づいてツールを構築して、ユーザーが必要に応じてデバイスを再同期できるようにします。

IAM ユーザーの仮想またはハードウェア MFA デバイスを再同期するには (AWS API)