重新同步虛擬及硬體 MFA 裝置 - AWS Identity and Access Management

重新同步虛擬及硬體 MFA 裝置

您可以使用 AWS 來重新同步您的虛擬及硬體 多重要素驗證 (MFA) 裝置。如果您的裝置在您嘗試使用時未同步,登入嘗試失敗,且 IAM 提示您重新同步裝置。

注意

FIDO 安全性金鑰不會失去同步。若 FIDO 安全性金鑰遺失或損壞,您可以停用它。如需停用任何 MFA 裝置類型的說明,請參閱 為另一個 IAM 使用者停用 MFA 裝置 (主控台)

身為 AWS 管理員,您可以在裝置失去同步時重新同步 IAM 使用者的虛擬及硬體 MFA 裝置。

若您的 AWS 帳戶 根使用者 MFA 裝置沒有正常運作,您可以使用 IAM 主控台重新同步您的裝置,完成或不完成登入程序。

必要許可

若要重新同步您 IAM 使用者的虛擬或硬體 MFA 裝置,您必須擁有以下政策的許可:此政策不允許您建立或停用裝置。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListActions", "Effect": "Allow", "Action": [ "iam:ListVirtualMFADevices" ], "Resource": "*" }, { "Sid": "AllowUserToViewAndManageTheirOwnUserMFA", "Effect": "Allow", "Action": [ "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "BlockAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

重新同步虛擬及硬體 MFA 裝置 (IAM 主控台)

您可以使用 IAM 主控台來重新同步虛擬及硬體 MFA 裝置。

重新同步您 IAM 使用者的虛擬或硬體 MFA 裝置 (主控台)

  1. 使用您的 AWS 帳戶 ID 或帳戶別名、IAM 使用者名稱及密碼,登入 IAM 主控台

    注意

    為方便起見,AWS 登入頁面使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 Sign in to a different account (登入不同的帳戶),返回主要登入頁面。從那裡您可以輸入您的 AWS 帳戶ID 或帳戶別名,以重新引導至您帳戶的 IAM 使用者登入頁面。

    若要取得 AWS 帳戶 ID,請聯絡您的管理員。

  2. 在右上方的導覽列中,選擇您的使用者名稱,然後選擇 My Security Credentials (我的安全憑證)。

    
            AWS 管理主控台我的安全憑證連結
  3. AWS IAM credentials (AWS IAM 憑證) 索引標籤上,在 Multi-factor authentication (多重要素驗證) 區段,選擇 Manage MFA device (管理 MFA 裝置)。

  4. Manage MFA device (管理 MFA 裝置) 中,選擇 Resync (重新同步),然後選擇 Continue (繼續)

  5. 將裝置接下來連續產生的兩個代碼輸入 MFA code 1 (MFA 代碼 1)MFA code 2 (MFA 代碼 2)。然後選擇 Continue (繼續)

    重要

    產生代碼之後立即提交您的請求。如果您產生代碼,然後等太久而無法提交請求、請求會出現運作,但裝置保持未同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。

重新同步另一個 IAM 使用者的虛擬或硬體 MFA 裝置 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者),然後選擇需要重新同步 MFA 裝置的使用者名稱。

  3. 選擇 Security credentials (安全憑證) 索引標籤。在 Assigned MFA device (指派的 MFA 裝置) 旁,選擇 Manage (管理)

  4. Manage MFA device (管理 MFA 裝置) 中,選擇 Resync (重新同步),然後選擇 Continue (繼續)

  5. 將裝置接下來連續產生的兩個代碼輸入 MFA code 1 (MFA 代碼 1)MFA code 2 (MFA 代碼 2)。然後選擇 Continue (繼續)

    重要

    產生代碼之後立即提交您的請求。如果您產生代碼,然後等太久而無法提交請求、請求會出現運作,但裝置保持未同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。

登入前重新同步根使用者 MFA (主控台)

  1. Amazon Web Services Sign In With Authentication Device (使用身分驗證裝置登入 Amazon Web Services) 頁面上,選擇 Having problems with your authentication device? (您的身分驗證裝置登有問題? )。Click here (請點選此處)

    注意

    您可能會看到不同的文字,例如使用 MFA 登入對您的身分驗證裝置進行疑難排解。不過,其功能是相同的。

  2. Re-Sync With Our Servers (與我們的伺服器重新同步) 區段中,將裝置接下來連續產生的兩個代碼輸入 MFA code 1 (MFA 代碼 1)MFA code 2 (MFA 代碼 2)。然後選擇 Re-sync authentication device (重新同步身分驗證裝置)

  3. 如果必要,再次輸入密碼,然後選擇登入。然後,使用您的 MFA 裝置完成登入。

登入後重新同步根使用者 MFA 裝置 (主控台)

  1. 選擇 Root user (根使用者) 並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入 IAM 主控台。在下一頁中,輸入您的密碼。

    注意

    如果您看到三個文字方塊,則表示您先前以 IAM 使用者憑證登入主控台。您的瀏覽器可能會記住此偏好設定,並在您每次嘗試登入時開啟此帳戶特定登入頁面。您無法使用 IAM 使用者登入頁面以帳戶擁有者身分登入。如果您看到 IAM 使用者登入頁面中,請選擇頁面底部附近的 Sign in using root user email (使用根使用者電子郵件登入)。這會讓您回到主要登入頁面。您可以在那裡使用 AWS 帳戶 電子郵件地址和密碼,以根使用者身分登入。

  2. 在導覽列右側選擇您的帳戶名稱,然後選擇 My Security Credentials (我的安全憑證)。如有需要,選擇 Continue to Security Credentials (繼續至安全憑證)。

    
            導覽選單中的「我的安全憑證」
  3. 展開頁面上的 Multi-factor authentication (MFA) (多重要素驗證 (MFA)) 區段。

  4. 在您的有效 MFA 裝置旁,選擇 Resync (重新同步)

  5. Manage MFA device (管理 MFA 裝置) 對話方塊中,將裝置接下來連續產生的兩個代碼輸入 MFA code 1 (MFA 代碼 1)MFA code 2 (MFA 代碼 2)。然後選擇 Continue (繼續)

    重要

    產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置將不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。

重新同步虛擬及硬體 MFA 裝置 (AWS CLI)

您可以從 AWS CLI 重新同步虛擬及硬體 MFA 裝置。

重新同步 IAM 使用者的虛擬或硬體 MFA 裝置 (AWS CLI)

在命令提示字元中,發出 aws iam resync-mfa-device 命令:

  • 虛擬 MFA 裝置:將裝置的 Amazon Resource Name (ARN) 指定為序號。

    aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654
  • 硬體 MFA 裝置:將硬體裝置的序號指定為序號。格式為廠商特定。例如,您可以從 Amazon 購買 gemalto 權杖。其序號通常是四個字母,後面接著四個數字。

    aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
重要

產生代碼之後立即提交您的請求。如果您產生代碼,然後因等太久而無法提交請求、請求會因代碼在不久後過期而失敗。

重新同步虛擬及硬體 MFA 裝置 (AWS API)

IAM 有一個執行同步化的 API 呼叫。在這種情況下,建議您提供您的虛擬及硬體 MFA 裝置使用者許可,讓其存取此 API 呼叫。然後根據該 API 呼叫建置工具,讓使用者在需要時能隨時重新同步他們的裝置。

重新同步 IAM 使用者的虛擬或硬體 MFA 裝置 (AWS API)