Atribua dispositivos MFA na AWS CLI ou API da AWS
Você pode usar os comandos da AWS CLI ou operações de API da AWS para habilitar um dispositivo com MFA virtual para um usuário do IAM. Não é possível habilitar um dispositivo com MFA para o Usuário raiz da conta da AWS com a AWS CLI, a API da AWS, ferramentas para Windows PowerShell ou qualquer outra ferramenta de linha de comando. No entanto, você pode usar o AWS Management Console para habilitar um dispositivo com MFA para o usuário raiz.
Quando você habilita um dispositivo MFA do AWS Management Console, o console executa múltiplas etapas para você. Se, em vez disso, você criar um dispositivo virtual usando a AWS CLI, o Tools for Windows PowerShell ou a API da AWS, execute as etapas manualmente e na ordem correta. Por exemplo, para criar um dispositivo com MFA virtual, você deve criar o objeto do IAM e extrair o código como uma string ou um gráfico de código QR. Em seguida, você deve sincronizar o dispositivo e associá-lo a um usuário do IAM. Consulte a seção Exemplos do New-IAMVirtualMFADevice para obter mais detalhes. Para um dispositivo físico, ignore a etapa de criação, sincronize e associe o dispositivo ao usuário diretamente.
Você pode associar tags aos seus recursos do IAM, incluindo dispositivos MFA virtuais, para identificar, organizar e controlar o acesso a eles. Os dispositivos MFA virtuais só podem ser marcados quando você usa a AWS CLI ou a API da AWS.
Um usuário do IAM usando o SDK ou a CLI pode ativar um dispositivo de MFA adicional chamando EnableMFADevice
ou desativar um dispositivo de MFA existente por meio de uma chamada DeactivateMFADevice
. Para fazer isso com êxito, eles devem primeiro chamar GetSessionToken
e enviar códigos de MFA com um dispositivo de MFA existente. Essa chamada retorna credenciais de segurança temporárias que podem ser usadas para assinar operações de API que exigem autenticação de MFA. Para ver um exemplo de solicitação e resposta, consulte GetSessionToken
: credenciais temporárias para usuários em ambientes não confiáveis.
Para criar a entidade do dispositivo virtual no IAM para representar um dispositivo virtual de MFA
Esses comandos fornecem um ARN para o dispositivo que é usado no lugar de um número de série em muitos dos comandos a seguir.
-
AWS CLI:
aws iam create-virtual-mfa-device
-
API da AWS:
CreateVirtualMFADevice
Para habilitar um dispositivo com MFA para usar com a AWS
Esses comandos sincronizam o dispositivo com a AWS e associam-no a um usuário. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série.
Importante
Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Se isso acontecer, sincronize novamente o dispositivo usando os comandos descritos abaixo.
-
AWS CLI:
aws iam enable-mfa-device
-
API da AWS:
EnableMFADevice
Para desativar um dispositivo
Use estes comandos para desassociar o dispositivo do usuário e desativá-lo. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série. Também é necessário excluir, separadamente, a entidade do dispositivo virtual.
-
AWS CLI:
aws iam deactivate-mfa-device
-
API da AWS:
DeactivateMFADevice
Para listar entidades do dispositivo virtual de MFA
Use estes comandos para listar entidades de dispositivo MFA virtual.
-
AWS CLI:
aws iam list-virtual-mfa-devices
-
API da AWS:
ListVirtualMFADevices
Marcar um dispositivo MFA virtual
Use estes comandos para marcar um dispositivo MFA virtual.
-
AWS CLI:
aws iam tag-mfa-device
-
API da AWS:
TagMFADevice
Listar tags para um dispositivo MFA virtual
Use estes comandos para listar as tags associadas a um dispositivo MFA virtual.
-
AWS CLI:
aws iam list-mfa-device-tags
-
API da AWS:
ListMFADeviceTags
Desmarcar um dispositivo MFA virtual
Use estes comandos para remover as tags associadas a um dispositivo MFA virtual.
-
AWS CLI:
aws iam untag-mfa-device
-
API da AWS:
UntagMFADevice
Para sincronizar novamente um dispositivo MFA
Use estes comandos se o dispositivo estiver gerando códigos que não são aceitos pela AWS. Se o dispositivo for virtual, use o ARN do dispositivo virtual como número de série.
-
AWS CLI:
aws iam resync-mfa-device
-
API da AWS:
ResyncMFADevice
Para excluir uma entidade do dispositivo com MFA virtual no IAM
Após o dispositivo ser desassociado do usuário, você poderá excluir a entidade do dispositivo.
-
AWS CLI:
aws iam delete-virtual-mfa-device
-
API da AWS:
DeleteVirtualMFADevice
Para recuperar um dispositivo MFA virtual que foi perdido ou não está funcionando
Às vezes, o dispositivo de um usuário que hospeda a aplicação de MFA virtual é perdido, substituído ou não está funcionando. Quando isso acontece, o usuário não pode recuperá-lo sozinho. Os usuários devem entrar em contato com o administrador para desativar o dispositivo. Para ter mais informações, consulte Recuperar uma identidade protegida por MFA no IAM.