Habilitar e gerenciar dispositivos MFA virtuais (AWS CLI ou API da AWS)

Você pode usar os comandos da AWS CLI ou operações de API da AWS para habilitar um dispositivo com MFA virtual para um usuário do IAM. Não é possível habilitar um dispositivo com MFA para o Usuário raiz da conta da AWS com a AWS CLI, a API da AWS, ferramentas para Windows PowerShell ou qualquer outra ferramenta de linha de comando. No entanto, você pode usar o AWS Management Console para habilitar um dispositivo com MFA para o usuário raiz.

Quando você habilita um dispositivo MFA do AWS Management Console, o console executa múltiplas etapas para você. Se, em vez disso, você criar um dispositivo virtual usando a AWS CLI, o Tools for Windows PowerShell ou a API da AWS, execute as etapas manualmente e na ordem correta. Por exemplo, para criar um dispositivo com MFA virtual, você deve criar o objeto do IAM e extrair o código como uma string ou um gráfico de código QR. Em seguida, você deve sincronizar o dispositivo e associá-lo a um usuário do IAM. Consulte a seção Exemplos do New-IAMVirtualMFADevice para obter mais detalhes. Para um dispositivo físico, ignore a etapa de criação, sincronize e associe o dispositivo ao usuário diretamente.

Você pode associar tags aos seus recursos do IAM, incluindo dispositivos MFA virtuais, para identificar, organizar e controlar o acesso a eles. Os dispositivos MFA virtuais só podem ser marcados quando você usa a AWS CLI ou a API da AWS.

Um usuário do IAM usando o SDK ou a CLI pode ativar um dispositivo de MFA adicional chamando EnableMFADevice ou desativar um dispositivo de MFA existente por meio de uma chamada DeactivateMFADevice. Para fazer isso com êxito, eles devem primeiro chamar GetSessionToken e enviar códigos de MFA com um dispositivo de MFA existente. Essa chamada retorna credenciais de segurança temporárias que podem ser usadas para assinar operações de API que exigem autenticação de MFA. Para ver um exemplo de solicitação e resposta, consulte GetSessionToken: credenciais temporárias para usuários em ambientes não confiáveis.

Para criar a entidade do dispositivo virtual no IAM para representar um dispositivo virtual de MFA

Esses comandos fornecem um ARN para o dispositivo que é usado no lugar de um número de série em muitos dos comandos a seguir.

AWS CLI: aws iam create-virtual-mfa-device
API da AWS: CreateVirtualMFADevice

Para habilitar um dispositivo com MFA para usar com a AWS

Esses comandos sincronizam o dispositivo com a AWS e associam-no a um usuário. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série.

Importante

Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (TOTP) expiram após um curto período. Se isso acontecer, sincronize novamente o dispositivo usando os comandos descritos abaixo.

AWS CLI: aws iam enable-mfa-device
API da AWS: EnableMFADevice

Para desativar um dispositivo

Use estes comandos para desassociar o dispositivo do usuário e desativá-lo. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série. Também é necessário excluir, separadamente, a entidade do dispositivo virtual.

AWS CLI: aws iam deactivate-mfa-device
API da AWS: DeactivateMFADevice

Para listar entidades do dispositivo virtual de MFA

Use estes comandos para listar entidades de dispositivo MFA virtual.

AWS CLI: aws iam list-virtual-mfa-devices
API da AWS: ListVirtualMFADevices

Marcar um dispositivo MFA virtual

Use estes comandos para marcar um dispositivo MFA virtual.

AWS CLI: aws iam tag-mfa-device
API da AWS: TagMFADevice

Listar tags para um dispositivo MFA virtual

Use estes comandos para listar as tags associadas a um dispositivo MFA virtual.

AWS CLI: aws iam list-mfa-device-tags
API da AWS: ListMFADeviceTags

Desmarcar um dispositivo MFA virtual

Use estes comandos para remover as tags associadas a um dispositivo MFA virtual.

AWS CLI: aws iam untag-mfa-device
API da AWS: UntagMFADevice

Para sincronizar novamente um dispositivo MFA

Use estes comandos se o dispositivo estiver gerando códigos que não são aceitos pela AWS. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série.

AWS CLI: aws iam resync-mfa-device
API da AWS: ResyncMFADevice

Para excluir uma entidade do dispositivo com MFA virtual no IAM

Após o dispositivo ser desassociado do usuário, você poderá excluir a entidade do dispositivo.

AWS CLI: aws iam delete-virtual-mfa-device
API da AWS: DeleteVirtualMFADevice

Para recuperar um dispositivo MFA virtual que foi perdido ou não está funcionando

Às vezes, o dispositivo de um usuário que hospeda a aplicação de MFA virtual é perdido, substituído ou não está funcionando. Quando isso acontece, o usuário não pode recuperá-lo sozinho. Os usuários devem entrar em contato com o administrador para desativar o dispositivo. Para obter mais informações, consulte O que acontece se um dispositivo com MFA for perdido ou parar de funcionar?.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Habilitar um token de hardware TOTP (console)

Verificação do status da MFA