啟用及管理虛擬 MFA 裝置 (AWS CLI 或 AWS API) - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用及管理虛擬 MFA 裝置 (AWS CLI 或 AWS API)

您可以使用 AWS CLI 命令或 AWS API 操作為 IAM 使用者啟用虛擬 MFA 裝置。您無法使用 AWS CLI、 AWS API、Windows PowerShell 工 AWS 帳戶根使用者 具或任何其他命令列工具來啟用 MFA 裝置。不過,您可以使用 AWS Management Console 為根使用者啟用 MFA 裝置。

當您從啟用 MFA 裝置時 AWS Management Console,主控台會為您執行多個步驟。如果您改為使用 Windows PowerShell 適用的 AWS CLI工具或 AWS API 建立虛擬裝置,則必須以正確的順序手動執行步驟。例如,如果要建立虛擬 MFA 裝置,則必須建立 IAM 物件,將程式碼擷取為字串或 QR 碼圖形,然後同步該裝置並將其與 IAM 使用者建立關聯。請參閱 New-IAMVirtualMFADevice 中的範例章節以了解更多詳細資訊。對於實體裝置,您可以跳過建立步驟,直接同步該裝置並將其與使用者建立關聯。

您可以將標籤連接至 IAM 資源 (包括虛擬 MFA 裝置),以識別、整理和控制其存取權。只有在使用 AWS CLI 或 AWS API 時,才能標記虛擬 MFA 裝置。

使用 SDK 或 CLI 的 IAM 使用者可以透過呼叫 EnableMFADevice 啟用額外的 MFA 裝置,或者透過呼叫 DeactivateMFADevice 停用現有的 MFA 裝置。若要成功執行此動作,這些使用者必須先使用現有的 MFA 裝置呼叫 GetSessionToken 並提交 MFA 代碼。此呼叫會傳回暫時的安全憑證,然後可使用此憑證簽署需要 MFA 身分驗證的 API 作業。如需要求和回應的範例,請參閱 GetSessionToken - 不受信任環境中使用者的暫時憑證

在 IAM 中建立虛擬裝置實體來代表虛擬 MFA 裝置

這些命令提供在以下許多命令中代替序號的裝置 ARN。

啟用 MFA 裝置以搭配使用 AWS

這些指令會將裝置與使用者同步, AWS 並將其與使用者建立關聯。如果裝置是虛擬裝置,則將虛擬裝置的 ARN 做為序號使用。

重要

產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。如果發生這種情況,可以使用下面介紹的命令重新同步裝置。

停用裝置

這些命令將取消裝置與使用者間的關聯並停用裝置。如果裝置是虛擬裝置,則將虛擬裝置的 ARN 做為序號使用。您也必須單獨刪除虛擬裝置實體。

列出虛擬 MFA 裝置實體

使用這些命令來列出虛擬 MFA 裝置的實體。

標記虛擬 MFA 裝置

使用這些指令來標記虛擬 MFA 裝置。

列出虛擬 MFA 裝置的標籤

使用這些命令列出連接至虛擬 MFA 裝置的標籤。

取消標記虛擬 MFA 裝置

使用這些命令移除連接至虛擬 MFA 裝置的標籤。

重新同步 MFA 裝置

如果設備正在生成不被接受的代碼,請使用這些命令 AWS。如果裝置是虛擬裝置,則將虛擬裝置的 ARN 做為序號使用。

刪除 IAM 中的虛擬 MFA 裝置實體

在裝置與使用者取消關聯後,您可以刪除裝置實體。

復原遺失或無法運作的虛擬 MFA 裝置

有時,主控虛擬 MFA 應用程式的使用者的裝置會發生遺失、遭到替換,或無法運作。當這種情況發生時,使用者無法自行復原。使用者必須聯絡管理員以停用裝置。如需更多詳細資訊,請參閱 MFA 裝置遺失或停止運作時怎麼辦?