仮想デバイスとハードウェア MFA デバイスの再同期 - AWS Identity and Access Management
必要な許可仮想およびハードウェア MFA デバイスの再同期 (IAM コンソール)仮想およびハードウェア MFA デバイスの再同期 (AWS CLI)仮想およびハードウェア MFA デバイスの再同期 (AWS API)

仮想デバイスとハードウェア MFA デバイスの再同期

AWS コンソールを使用して、仮想およびハードウェア Multi-Factor Authentication (MFA) デバイスを再同期できます。ユーザーのデバイスが使用しようとしたときに同期されていない場合、ユーザーのサインインは失敗し、IAM はユーザーにデバイスの再同期を促します。

注記

FIDO セキュリティキーは同期しなくなることはありません。FIDO セキュリティキーが紛失または破損した場合は、それを非アクティブにすることができます。MFA デバイスタイプを無効にする方法については、「別の IAM ユーザーの MFA デバイスを無効化するには (コンソール)」を参照してください。

AWS 管理者は、IAM ユーザーの仮想およびハードウェア MFA デバイスがシステムと同期されていない場合、それらのデバイスを再同期できます。

AWS アカウント ルートユーザー MFA デバイスが動作していない場合は、IAM コンソールを使用してデバイスを再同期することができます。

必要な許可

独自の IAM ユーザーに対して仮想またはハードウェア MFA デバイスを再同期するには、次のポリシーのアクセス許可が必要です。このポリシーでは、デバイスを作成または無効にすることはできません。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "BlockAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

仮想およびハードウェア MFA デバイスの再同期 (IAM コンソール)

IAM コンソールを使用して、仮想およびハードウェア MFA デバイスを再同期できます。

独自の IAM ユーザーの仮想またはハードウェア MFA デバイスを再同期するには (コンソール)

  1. AWS アカウント ID またはアカウントエイリアス、IAM ユーザー名、およびパスワードを使用して IAM コンソールにサインインします。

    注記

    利便性のため、AWS サインインページは、ブラウザ cookie を使用して IAM ユーザー名とアカウント情報を記憶します。以前に別のユーザーとしてサインインしたことがある場合は、ページの下部にある[別のアカウントにサインイン]を選択し、メインのサインインページに戻ります。そこから、AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトされるようにすることができます。

    AWS アカウント ID を取得するには、管理者にお問い合わせください。

  2. 右上のナビゲーションバーでユーザー名を選択し、続いて [My Security Credentials (セキュリティ認証情報)] を選択します。

    AWS マネジメントコンソールの [My Security Credentials (セキュリティ認証情報)] リンク

  3. [AWS IAM 認証情報] タブの [Multi-Factor Authentication] セクションで、[MFA デバイスの管理] を選択します。

  4. [MFA デバイスの管理] ウィザードで、[Resync (再同期)]、[Continue (続行)] の順に選択します。

  5. デバイスで連続して生成された次の 2 つのコードを [MFA コード 1] および [MFA コード 2] に入力します。オフにしたら、[Continue] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、リクエスト処理中に見えますが、デバイスは同期されていません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

別の IAM ユーザーの仮想またはハードウェア MFA デバイスを再同期するには (コンソール)

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [ユーザー] を選択してから、MFA デバイスを再同期する必要があるユーザーの名前を選択します。

  3. Security credentials]タブを選択します。[Assigned MFA device] (割り当て済み MFA デバイス) の横で、[Manage] (管理) を選択します。

  4. [MFA デバイスの管理] ウィザードで、[Resync (再同期)]、[Continue (続行)] の順に選択します。

  5. デバイスで連続して生成された次の 2 つのコードを [MFA コード 1] および [MFA コード 2] に入力します。オフにしたら、[Continue] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、リクエスト処理中に見えますが、デバイスは同期されていません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

サインインする前に ルートユーザーMFA を再同期するには (コンソール)

  1. [Amazon Web Services Sign In With Authentication Device (認証デバイスによる Amazon Web Services へのサインイン)] ページで、[認証デバイスに問題がありますか?] を選択します。[Click here] (ここをクリックしてください)。

    注記

    他のテキスト (例: MFA を使用してサインイン認証デバイスのトラブルシューティング) が表示される場合があります。ただし、提供されている機能は同じです。

  2. [Re-Sync With Our Servers (サーバーとの再同期)] セクションで、デバイスで連続して生成された次の 2 つのコードを [MFA code 1 (MFA コード 1)] および [MFA code 2 (MFA コード 2)] に入力します。次に、[Re-sync authentication device (認証デバイスの再同期)] を選択します。

  3. 必要に応じて、パスワードをもう一度入力し、[サインイン] を選択します。次に、MFA デバイスを使用してサインインを完了します。

サインインした後に ルートユーザーMFA デバイスを再同期するには (コンソール)

  1. [Root user] (ルートユーザー) を選択して AWS アカウント の E メールアドレスを入力し、アカウント所有者として IAM コンソールにサインインします。次のページでパスワードを入力します。

    注記

    3 つのテキストボックスが表示される場合、以前に IAM ユーザー認証情報でコンソールにサインインしました。ブラウザでこの設定が記憶され、サインインを試みるたびにこのアカウント固有のサインインページが開く場合があります。IAM ユーザーのサインインページを使用して、アカウント所有者としてサインインすることはできません。IAM ユーザーのサインインページ] が表示された場合、ルートユーザーの電子メールを使用してサインインする] (ページの下部にあります)を選択します。これにより、メインのサインインページに戻ります。ここから、AWS アカウント のメールアドレスとパスワードを使用して、ルートユーザーとしてサインインできます。

  2. オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[My Security Credentials (セキュリティ認証情報)] を選択します。必要に応じて、[セキュリティ認証情報に進む] を選択します。

    ナビゲーションメニューの [認証情報]

  3. ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

  4. アクティブな MFA デバイスの横にある [Resync (再同期)] を選択します。

  5. [MFA デバイスの管理] ダイアログで、デバイスで連続して生成された次の 2 つのコードを [MFA code 1 (MFA コード 1)] および [MFA code 2 (MFA コード 2)] に入力します。オフにしたら、[Continue] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期しません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

仮想およびハードウェア MFA デバイスの再同期 (AWS CLI)

AWS CLI から仮想およびハードウェア MFA デバイスを再同期できます。

IAM ユーザーの仮想 MFA デバイスまたはハードウェア MFA デバイスを再同期するには (AWS CLI)

コマンドプロンプトで、aws iam resync-mfa-deviceコマンドを発行します。

  • 仮想 MFA デバイス: デバイスの Amazon リソースネーム(ARN)をシリアル番号として入力します。

    aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654

  • ハードウェア MFA デバイス: ハードウェアデバイスのシリアル番号をシリアル番号として指定します。形式はベンダー固有です。たとえば、Amazon から gemalto トークンを購入できます。シリアル番号は通常、4 つの文字の後に 4 つの数字が続きます。

    aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
重要

コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合は、コードの有効期間が短いためリクエストは送信されません。

仮想およびハードウェア MFA デバイスの再同期 (AWS API)

IAM には同期を実行する API コールがあります。この場合、仮想およびハードウェア MFA デバイスユーザーにこの API コールに対するアクセス許可を付与することをお勧めします。API コールに基づいてツールを構築して、ユーザーが必要に応じてデバイスを再同期できるようにします。

IAM ユーザーの仮想またはハードウェア MFA デバイスを再同期するには (AWS API)