本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
重新同步虛擬及硬體 MFA 裝置
您可以使用重新同步處理虛擬和硬體多重 AWS 要素驗證 (MFA) 裝置。如果您的裝置在您嘗試使用時未同步,登入嘗試失敗,且 IAM 提示您重新同步裝置。
注意
FIDO 安全性金鑰不會失去同步。若 FIDO 安全性金鑰遺失或損壞,您可以停用它。如需停用任何 MFA 裝置類型的說明,請參閱 為另一個 IAM 使用者停用 MFA 裝置 (主控台)。
AWS 身為管理員,您可以在 IAM 使用者的虛擬和硬體 MFA 裝置不同步時重新同步處理這些裝置。
如果您的 AWS 帳戶根使用者 MFA 裝置無法運作,您可以使用 IAM 主控台重新同步處理裝置,無論是否完成登入程序。如果您無法成功重新同步處理裝置,您可能需要為裝置取消關聯,再重新關聯此裝置。如需如何執行此作業的資訊,請參閱 停用 MFA 裝置 和 為中的使用者啟用 MFA 裝置 AWS。
必要許可
若要為自己的 IAM 使用者重新同步虛擬或硬體 MFA 裝置,您必須擁有以下政策的許可。此政策不允許您建立或停用裝置。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListActions", "Effect": "Allow", "Action": [ "iam:ListVirtualMFADevices" ], "Resource": "*" }, { "Sid": "AllowUserToViewAndManageTheirOwnUserMFA", "Effect": "Allow", "Action": [ "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "BlockAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }
重新同步虛擬及硬體 MFA 裝置 (IAM 主控台)
您可以使用 IAM 主控台來重新同步虛擬及硬體 MFA 裝置。
重新同步您 IAM 使用者的虛擬或硬體 MFA 裝置 (主控台)
-
使用您的 AWS 帳戶 ID 或帳戶別名、IAM 使用者名稱和密碼登入 IAM 主控台
。 注意
為方便起見, AWS 登入頁面會使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 Sign in to a different account (登入不同的帳戶),返回主要登入頁面。您可以在該處輸入帳 AWS 戶 ID 或帳戶別名,以重新導向至帳戶的 IAM 使用者登入頁面。
若要取得您的 AWS 帳戶 ID,請聯絡您的系統管理員。
-
在右上方的導覽列中,選擇您的使用者名稱,然後選擇 安全憑證 。
-
在 AWS IAM 憑證 標籤的 多重要素驗證 (MFA) 區段選擇 MFA 裝置旁的選項按鈕,然後選擇 重新同步。
-
將裝置接下來連續產生的兩個代碼輸入 MFA code 1 (MFA 代碼 1) 和 MFA code 2 (MFA 代碼 2)。然後選擇 Resync (重新同步)。
重要
產生代碼之後立即提交您的請求。如果您產生代碼,然後等太久而無法提交請求、請求會出現運作,但裝置保持未同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。
重新同步另一個 IAM 使用者的虛擬或硬體 MFA 裝置 (主控台)
登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇 Users (使用者),然後選擇需要重新同步 MFA 裝置的使用者名稱。
-
選擇 Security credentials (安全憑證) 索引標籤。在 多重要素驗證 (MFA) 區段中選擇 MFA 裝置旁的選項按鈕,然後選擇 重新同步。
-
將裝置接下來連續產生的兩個代碼輸入 MFA code 1 (MFA 代碼 1) 和 MFA code 2 (MFA 代碼 2)。然後選擇 Resync (重新同步)。
重要
產生代碼之後立即提交您的請求。如果您產生代碼,然後等太久而無法提交請求、請求會出現運作,但裝置保持未同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。
登入前重新同步根使用者 MFA (主控台)
-
在 Amazon Web Services Sign In With Authentication Device (使用身分驗證裝置登入 Amazon Web Services) 頁面上,選擇 Having problems with your authentication device? (您的身分驗證裝置登有問題? )。Click here (請點選此處)。
注意
您可能會看到不同的文字,例如使用 MFA 登入和對您的身分驗證裝置進行疑難排解。不過,其功能是相同的。
-
在 Re-Sync With Our Servers (與我們的伺服器重新同步) 區段中,將裝置接下來連續產生的兩個代碼輸入 MFA code 1 (MFA 代碼 1) 和 MFA code 2 (MFA 代碼 2)。然後選擇 Re-sync authentication device (重新同步身分驗證裝置)。
-
如果必要,再次輸入密碼,然後選擇登入。然後,使用您的 MFA 裝置完成登入。
登入後重新同步根使用者 MFA 裝置 (主控台)
-
選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入 IAM 主控台
。在下一頁中,輸入您的密碼。 注意
根使用者無法登入 以 IAM 使用者身分登入 頁面。如果您看到 以 IAM 使用者身分登入 頁面,請選擇頁面底部附近的 使用根使用者電子郵件登入。如需以 root 使用者身分登入的說明,請參閱《使用指南》中的「以 root 使用者身分登入」AWS 登入 。 AWS Management Console
-
在導覽列右側選擇您的帳戶名稱,然後選擇 安全憑證 。如有需要,選擇 Continue to Security Credentials (繼續至安全憑證)。
-
展開頁面上的 Multi-factor authentication (MFA) (多重要素驗證 (MFA)) 區段。
-
選擇裝置旁的選項按鈕,然後選取 Resync (重新同步)。
-
在 Resync MFA device (重新同步 MFA 裝置) 對話方塊中,將裝置接下來連續產生的兩個代碼輸入 MFA code 1 (MFA 代碼 1) 和 MFA code 2 (MFA 代碼 2)。然後選擇 Resync (重新同步)。
重要
產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置將不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。
重新同步虛擬及硬體 MFA 裝置 (AWS CLI)
您可以從 AWS CLI重新同步虛擬及硬體 MFA 裝置。
重新同步 IAM 使用者的虛擬或硬體 MFA 裝置 (AWS CLI)
在命令提示字元中,發出 aws iam resync-mfa-device 命令:
-
虛擬 MFA 裝置:將裝置的 Amazon Resource Name (ARN) 指定為序號。
aws iam resync-mfa-device --user-nameRichard--serial-number arn:aws:iam::123456789012:mfa/RichardsMFA--authentication-code1123456--authentication-code2987654 -
硬體 MFA 裝置:將硬體裝置的序號指定為序號。格式為廠商特定。例如,您可以從 Amazon 購買 gemalto 權杖。其序號通常是四個字母,後面接著四個數字。
aws iam resync-mfa-device --user-nameRichard--serial-numberABCD12345678--authentication-code1123456--authentication-code2987654
重要
產生代碼之後立即提交您的請求。如果您產生代碼,然後因等太久而無法提交請求、請求會因代碼在不久後過期而失敗。
重新同步虛擬和硬體 MFA 裝置 (API)AWS
IAM 有一個執行同步化的 API 呼叫。在這種情況下,建議您提供您的虛擬及硬體 MFA 裝置使用者許可,讓其存取此 API 呼叫。然後根據該 API 呼叫建置工具,讓使用者在需要時能隨時重新同步他們的裝置。
為 IAM 使用者重新同步處理虛擬或硬體 MFA 裝置 (API)AWS
-
傳送 ResyncMFADevice 請求。
