AWS Identity and Access Management
ユーザーガイド

仮想デバイスとハードウェア MFA デバイスの再同期

AWS 管理者は、IAM ユーザーの仮想およびハードウェア MFA デバイスがシステムと同期されていない場合、それらのデバイスを再同期できます。ユーザーのデバイスが使用しようとしたときに同期されていない場合、ユーザーのサインインは失敗し、IAM はユーザーにデバイスの再同期を促します。

注記

U2F セキュリティキーは同期しなくなることはありません。U2F セキュリティキーが紛失または破損した場合は、U2F セキュリティキーを非アクティブにすることができます。MFA デバイスタイプを無効にする方法については、「IAM ユーザーの MFA デバイスを無効化するには (コンソール)」を参照してください。

AWS アカウントのルートユーザー MFA デバイスが動作していない場合は、IAM コンソールを使用してデバイスを再同期することができます。

仮想およびハードウェア MFA デバイスの再同期 (IAM Console)

IAM コンソールを使用して、仮想およびハードウェア MFA デバイスを再同期できます。

IAM ユーザーの仮想またはハードウェア MFA デバイスを再同期するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ユーザー] を選択してから、MFA デバイスを再同期する必要があるユーザーの名前を選択します。

  3. [Security credentials] タブを選択します。[Assigned MFA device (割り当て済み MFA デバイス)] の横で、[管理] を選択します。

  4. [MFA デバイスの管理] ウィザードで、[Resync (再同期)]、[Continue (続行)] の順に選択します。

  5. デバイスで連続して生成された次の 2 つのコードを [認証コード 1] および [認証コード 2] に入力します。入力したら、[Continue] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、リクエスト処理中に見えますが、デバイスは同期されていません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

サインインする前に ルートユーザー MFA を再同期するには (コンソール)

  1. [Amazon Web Services Sign In With Authentication Device (認証デバイスによるアマゾン ウェブ サービスへのサインイン)] ページで、[認証デバイスに問題がありますか? ここをクリックしてください] を選択します。

    注記

    他のテキスト (例: MFA を使用してサインイン認証デバイスのトラブルシューティング) が表示される場合があります。ただし、提供されている機能は同じです。

  2. [Re-Sync With Our Servers (サーバーとの再同期)] セクションで、デバイスで連続して生成された次の 2 つのコードを [MFA Code 1 (MFA コード 1)] および [MFA Code 2 (MFA コード 2)] に入力します。次に、[Re-sync authentication device (認証デバイスの再同期)] を選択します。

  3. 必要に応じて、パスワードをもう一度入力し、[サインイン] を選択します。次に、MFA デバイスを使用してサインインを完了します。

サインインした後に ルートユーザー MFA デバイスを再同期するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションバーの右側で、使用するアカウント名を選択してから、[認証情報] を選択します。必要に応じて、[セキュリティ認証情報に進む] を選択します。

  3. ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

  4. アクティブな MFA デバイスの横にある [Resync (再同期)] を選択します。

  5. [MFA デバイスの管理] ダイアログで、デバイスで連続して生成された次の 2 つのコードを [MFA Code 1 (MFA コード 1)] および [MFA Code 2 (MFA コード 2)] に入力します。入力したら、[Continue] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期しません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。

仮想およびハードウェア MFA デバイスの再同期 (AWS CLI)

AWS CLI から仮想およびハードウェア MFA デバイスを再同期できます。

IAM ユーザーの仮想 MFA デバイスまたはハードウェア MFA デバイスを再同期するには (AWS CLI)

コマンドラインプロンプトで、aws iam resync-mfa-device コマンドを発行します。

  • 仮想 MFA デバイス: デバイスの Amazon リソースネーム (ARN) を SerialNumber として指定します。

    $ aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code-1 123456 --authentication-code-2 987654
  • ハードウェア MFA デバイス: ハードウェアデバイスのシリアル番号を SerialNumber として指定します。形式はベンダーによって異なります。

    PS C:\>Sync-IAMMFADevice -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Richard

重要

コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合は、コードの有効期間が短いためリクエストは送信されません。

仮想およびハードウェア MFA デバイスの再同期 (AWS API)

IAM には同期を実行する API コールがあります。この場合、仮想およびハードウェア MFA デバイスユーザーにこの API コールに対するアクセス許可を付与することをお勧めします。API コールに基づいてツールを構築して、ユーザーが必要に応じてデバイスを再同期できるようにします。

IAM ユーザーの仮想またはハードウェア MFA デバイスを再同期するには (AWS API)