Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Attribuez MFA des appareils dans le AWS CLI ou AWS API
Vous pouvez utiliser AWS CLI des commandes ou AWS API des opérations pour activer un MFA périphérique virtuel pour un IAM utilisateur. Vous ne pouvez pas activer de MFA périphérique Utilisateur racine d'un compte AWS avec AWS CLI AWS API, Outils pour Windows PowerShell ou tout autre outil de ligne de commande. Toutefois, vous pouvez utiliser le AWS Management Console pour activer un MFA appareil pour l'utilisateur root.
Lorsque vous activez un MFA appareil depuis le AWS Management Console, la console exécute plusieurs étapes pour vous. Si vous créez plutôt un périphérique virtuel à l' AWS CLI aide des outils pour Windows ou PowerShell AWS API, vous devez effectuer les étapes manuellement et dans le bon ordre. Par exemple, pour créer un MFA appareil virtuel, vous devez créer l'IAMobjet et extraire le code sous forme de chaîne ou de graphique de code QR. Vous devez ensuite synchroniser l'appareil et l'associer à un IAM utilisateur. Consultez la section Exemples de New- IAMVirtualMFADevice pour plus de détails. Dans le cas d'un périphérique physique, vous ignorez l'étape de création et passez directement à la synchronisation du périphérique et l'association à un utilisateur.
Vous pouvez associer des balises à vos IAM ressources, y compris aux MFA appareils virtuels, afin de les identifier, de les organiser et de contrôler l'accès à celles-ci. Vous pouvez étiqueter MFA des appareils virtuels uniquement lorsque vous utilisez le AWS CLI ou AWS API.
Un IAM utilisateur utilisant le SDK ou CLI peut activer un MFA appareil supplémentaire en appelant EnableMFADeviceou désactiver un MFA appareil existant en appelant DeactivateMFADevice. Pour ce faire, ils doivent d'abord appeler GetSessionTokenet envoyer MFA des codes avec un MFA appareil existant. Cet appel renvoie des informations d'identification de sécurité temporaires qui peuvent ensuite être utilisées pour signer API les opérations nécessitant une MFA authentification. Pour un exemple de demande et de réponse, consultez GetSessionToken : informations d'identification temporaires pour les utilisateurs qui se trouvent dans des environnements non fiables.
Pour créer l'entité de périphérique virtuel IAM pour représenter un MFA périphérique virtuel
Ces commandes fournissent un ARN pour le périphérique utilisé à la place d'un numéro de série dans la plupart des commandes suivantes.
-
AWS CLI:
aws iam create-virtual-mfa-device -
AWS API:
CreateVirtualMFADevice
Pour activer l'utilisation d'un MFA appareil avec AWS
Ces commandes synchronisent l'appareil avec un utilisateur AWS et l'associent à celui-ci. Si le périphérique est virtuel, utilisez le ARN du périphérique virtuel comme numéro de série.
Important
Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis que vous attendez trop longtemps pour soumettre la demande, l'MFAappareil s'associe correctement à l'utilisateur, mais il se désynchronise. MFA Cela se produit parce que les mots de passe à usage unique basés sur le temps (TOTP) expirent après un court laps de temps. Dans ce cas, vous pouvez resynchroniser l'appareil à l'aide des commandes décrites ci-dessous.
-
AWS CLI:
aws iam enable-mfa-device -
AWS API:
EnableMFADevice
Pour désactiver un périphérique
Utilisez ces commandes pour dissocier le périphérique de l'utilisateur et le désactiver. Si le périphérique est virtuel, utilisez le ARN du périphérique virtuel comme numéro de série. Vous devez également supprimer l'entité de périphérique virtuel séparément.
-
AWS CLI:
aws iam deactivate-mfa-device -
AWS API:
DeactivateMFADevice
Pour répertorier les entités de MFA périphériques virtuels
Utilisez ces commandes pour répertorier les entités de MFA périphériques virtuels.
-
AWS CLI:
aws iam list-virtual-mfa-devices -
AWS API:
ListVirtualMFADevices
Pour étiqueter un MFA appareil virtuel
Utilisez ces commandes pour étiqueter un MFA périphérique virtuel.
-
AWS CLI:
aws iam tag-mfa-device -
AWS API:
TagMFADevice
Pour répertorier les balises d'un MFA périphérique virtuel
Utilisez ces commandes pour répertorier les balises associées à un MFA périphérique virtuel.
-
AWS CLI:
aws iam list-mfa-device-tags -
AWS API:
ListMFADeviceTags
Pour supprimer le balisage d'un appareil virtuel MFA
Utilisez ces commandes pour supprimer les balises associées à un MFA périphérique virtuel.
-
AWS CLI:
aws iam untag-mfa-device -
AWS API:
UntagMFADevice
Pour resynchroniser un appareil MFA
Utilisez ces commandes si le périphérique génère des codes qui ne sont pas acceptés par AWS. Si le périphérique est virtuel, utilisez le ARN du périphérique virtuel comme numéro de série.
-
AWS CLI:
aws iam resync-mfa-device -
AWS API:
ResyncMFADevice
Pour supprimer une entité de MFA périphérique virtuel dans IAM
Après avoir dissocié le périphérique de l'utilisateur, vous pouvez supprimer l'entité de périphérique.
-
AWS CLI:
aws iam delete-virtual-mfa-device -
AWS API:
DeleteVirtualMFADevice
Pour récupérer un MFA périphérique virtuel perdu ou ne fonctionnant pas
Parfois, l'appareil d'un utilisateur hébergeant l'MFAapplication virtuelle est perdu, remplacé ou ne fonctionne pas. Dans ce cas, l'utilisateur ne peut pas le récupérer par lui-même. L'utilisateur doit contacter un administrateur pour désactiver le dispositif. Pour de plus amples informations, veuillez consulter Récupérez une identité MFA protégée dans IAM.
