Habilitar e gerenciar dispositivos MFA virtuais (AWS CLI ou API da AWS) - AWS Identity and Access Management

Habilitar e gerenciar dispositivos MFA virtuais (AWS CLI ou API da AWS)

Você pode usar os comandos da AWS CLI ou operações de API da AWS para habilitar um dispositivo com MFA virtual para um usuário do IAM. Você não pode habilitar um dispositivo com MFA para o usuário raiz da Conta da AWS com a AWS CLI, a API da AWS, o Tools for Windows PowerShell ou qualquer outra ferramenta da linha de comando. No entanto, você pode usar o AWS Management Console para habilitar um dispositivo com MFA para o usuário raiz.

Quando você habilita um dispositivo MFA do AWS Management Console, o console executa múltiplas etapas para você. Se, em vez disso, você criar um dispositivo virtual usando a AWS CLI, o Tools for Windows PowerShell ou a API da AWS, execute as etapas manualmente e na ordem correta. Por exemplo, para criar um dispositivo com MFA virtual, você deve criar o objeto do IAM e extrair o código como uma string ou um gráfico de código QR. Em seguida, você deve sincronizar o dispositivo e associá-lo a um usuário do IAM. Consulte a seção Exemplos do New-IAMVirtualMFADevice para obter mais detalhes. Para um dispositivo físico, ignore a etapa de criação, sincronize e associe o dispositivo ao usuário diretamente.

Você pode associar tags aos seus recursos do IAM, incluindo dispositivos MFA virtuais, para identificar, organizar e controlar o acesso a eles. Os dispositivos MFA virtuais só podem ser marcados quando você usa a AWS CLI ou a API da AWS.

Para criar a entidade do dispositivo virtual no IAM para representar um dispositivo virtual de MFA

Esses comandos fornecem um ARN para o dispositivo que é usado no lugar de um número de série em muitos dos comandos a seguir.

Para habilitar um dispositivo com MFA para usar com a AWS

Esses comandos sincronizam o dispositivo com a AWS e o associam a um usuário ou usuário raiz. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série.

Importante

Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (TOTP) expiram após um curto período. Se isso acontecer, sincronize novamente o dispositivo usando os comandos descritos abaixo.

Para desativar um dispositivo

Use estes comandos para desassociar o dispositivo do usuário e desativá-lo. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série. Também é necessário excluir, separadamente, a entidade do dispositivo virtual.

Para listar entidades do dispositivo virtual de MFA

Use estes comandos para listar entidades de dispositivo MFA virtual.

Marcar um dispositivo MFA virtual

Use estes comandos para marcar um dispositivo MFA virtual.

Listar tags para um dispositivo MFA virtual

Use estes comandos para listar as tags associadas a um dispositivo MFA virtual.

Desmarcar um dispositivo MFA virtual

Use estes comandos para remover as tags associadas a um dispositivo MFA virtual.

Para sincronizar novamente um dispositivo MFA

Use estes comandos se o dispositivo estiver gerando códigos que não são aceitos pela AWS. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série.

Para excluir uma entidade do dispositivo com MFA virtual no IAM

Após o dispositivo ser desassociado do usuário, você poderá excluir a entidade do dispositivo.

Para recuperar um dispositivo MFA virtual que foi perdido ou não está funcionando

Às vezes, um dispositivo de usuário do IAM que hospeda a aplicação com MFA virtual é perdido, substituído ou não está funcionando. Quando isso acontece, o usuário não pode recuperá-lo sozinho. Os usuários do IAM devem entrar em contato com um administrador para desativar o dispositivo. Para mais informações, consulte O que acontece se um dispositivo com MFA for perdido ou parar de funcionar?.