Resynchronisation des périphériques virtuels et matériels MFA - AWS Identity and Access Management
Autorisations nécessairesResynchronisation des MFA périphériques virtuels et matériels (console) IAMResynchronisation des périphériques virtuels et matériels MFA ()AWS CLIResynchronisation des périphériques virtuels et matériels MFA ()AWS API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Resynchronisation des périphériques virtuels et matériels MFA

Vous pouvez l'utiliser AWS pour resynchroniser vos appareils d'authentification multifactorielle () virtuels et matériels. MFA Si votre appareil n'est pas synchronisé lorsque vous essayez de l'utiliser, la tentative de connexion échoue et vous IAM invite à resynchroniser l'appareil.

Note

FIDOles clés de sécurité ne se désynchronisent pas. Si une clé FIDO de sécurité est perdue ou cassée, vous pouvez la désactiver. Pour obtenir des instructions sur la désactivation de tout type MFA d'appareil, reportez-vous Pour désactiver un MFA appareil pour un autre IAM utilisateur (console) à.

En tant qu' AWS administrateur, vous pouvez resynchroniser les MFA appareils virtuels et matériels de vos IAM utilisateurs en cas de désynchronisation.

Si votre Utilisateur racine d'un compte AWS MFA appareil ne fonctionne pas, vous pouvez le resynchroniser à l'aide de la IAM console avec ou sans terminer le processus de connexion. Si vous ne parvenez pas à resynchroniser votre appareil, vous devrez peut-être le désassocier et le réassocier. Pour en savoir plus à ce sujet, veuillez consulter les rubriques Désactiver un appareil MFA et AWS Authentification multifactorielle dans IAM.

Autorisations nécessaires

Pour resynchroniser des MFA périphériques virtuels ou matériels pour votre propre IAM utilisateur, vous devez disposer des autorisations définies dans la politique suivante. Cette politique ne vous permet pas de créer ou de désactiver un dispositif.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "BlockAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Resynchronisation des MFA périphériques virtuels et matériels (console) IAM

Vous pouvez utiliser la IAM console pour resynchroniser les périphériques virtuels et matériels. MFA

Pour resynchroniser un MFA périphérique virtuel ou matériel pour votre propre IAM utilisateur (console)

  1. Utilisez votre AWS identifiant ou alias de compte, votre nom IAM d'utilisateur et votre mot de passe pour vous connecter à la IAMconsole.

    Note

    Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom IAM d'utilisateur et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez Sign in to a different account (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion IAM utilisateur de votre compte.

    Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.

  2. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis Security credentials (Informations d'identification de sécurité).

    AWS Lien vers les identifiants de sécurité de la console de gestion

  3. Dans l'onglet AWS IAMInformations d'identification, dans la section Authentification multifactorielle (MFA), cliquez sur le bouton radio situé à côté de l'MFAappareil, puis sur Resynchroniser.

  4. Tapez les deux prochains codes générés séquentiellement par l'appareil dans le MFAcode 1 et le MFAcode 2. Puis choisissez Resync (Resynchroniser).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, cette dernière semble fonctionner mais l'appareil reste désynchronisé. Cela se produit parce que les mots de passe à usage unique basés sur le temps (TOTP) expirent après un court laps de temps.

Pour resynchroniser un MFA périphérique virtuel ou matériel pour un autre IAM utilisateur (console)

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Utilisateurs, puis le nom de l'utilisateur dont l'MFAappareil doit être resynchronisé.

  3. Choisissez l’onglet Informations d’identification de sécurité. Dans la section Authentification MFA multifactorielle (), cliquez sur le bouton radio situé à côté de l'MFAappareil et choisissez Resync.

  4. Tapez les deux prochains codes générés séquentiellement par l'appareil dans le MFAcode 1 et le MFAcode 2. Puis choisissez Resync (Resynchroniser).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, cette dernière semble fonctionner mais l'appareil reste désynchronisé. Cela se produit parce que les mots de passe à usage unique basés sur le temps (TOTP) expirent après un court laps de temps.

Pour resynchroniser votre utilisateur root MFA avant de vous connecter (console)

  1. Sur la page Amazon Web Services Sign In With Authentication Device (connexion à Amazon Web Services à l'aide de MFA), choisissez Having problems with your authentication device? (des problèmes avec votre dispositif d'authentification ?) Click here (Cliquez ici).

    Note

    Il se peut que vous voyiez un texte différent, tel que Se connecter à l'aide de votre dispositif d'authentification MFA et résoudre les problèmes liés à celui-ci. Toutefois, les mêmes fonctions sont fournies.

  2. Dans la section Resynchronisation avec nos serveurs, tapez les deux prochains codes générés séquentiellement par l'appareil dans le MFAcode 1 et MFA le code 2. Ensuite, choisissez Re-sync authentication device (Resynchroniser l'appareil d'authentification).

  3. Si besoin, saisissez à nouveau votre mot de passe et choisissez Sign in (Connexion). Complétez ensuite la connexion à l'aide de votre MFA appareil.

Pour resynchroniser votre MFA appareil utilisateur root après vous être connecté (console)

  1. Connectez-vous à la IAMconsole en tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.

    Note

    En tant qu'utilisateur root, vous ne pouvez pas vous connecter à la page Se connecter en tant qu'IAMutilisateur. Si la page Se connecter en tant qu'IAMutilisateur s'affiche, choisissez Se connecter à l'aide de l'adresse e-mail de l'utilisateur root en bas de la page. Pour obtenir de l'aide pour vous connecter en tant qu'utilisateur root, consultez la section Connexion en AWS Management Console tant qu'utilisateur root dans le Guide de Connexion à AWS l'utilisateur.

  2. À droite de la barre de navigation, sélectionnez le nom de votre compte, puis Security Credentials (Informations d'identification de sécurité). Au besoin, choisissez Continue to Security credentials (Passer aux informations d'identification de sécurité).

    Informations d'identification de sécurité dans le menu de navigation

  3. Développez la section Authentification MFA multifactorielle () de la page.

  4. Cliquez sur le bouton radio en regard du dispositif et choisissez Resync (Resynchroniser).

  5. Dans la boîte de dialogue MFAResynchroniser l'appareil, tapez les deux prochains codes générés séquentiellement par le périphérique dans le MFAcode 1 et MFA le code 2. Puis choisissez Resync (Resynchroniser).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps pour envoyer la demande, l'MFAappareil est correctement associé à l'utilisateur, mais il n'est pas synchronisé. MFA Cela se produit parce que les mots de passe à usage unique basés sur le temps (TOTP) expirent après un court laps de temps.

Resynchronisation des périphériques virtuels et matériels MFA ()AWS CLI

Vous pouvez resynchroniser les MFA périphériques virtuels et matériels à partir du. AWS CLI

Pour resynchroniser un MFA périphérique virtuel ou matériel pour un IAM utilisateur ()AWS CLI

À l'invite de commande, lancez la resync-mfa-device commande aws iam :

  • MFAAppareil virtuel : spécifiez le nom de ressource Amazon (ARN) de l'appareil comme numéro de série.

    aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654

  • MFAPériphérique matériel : Spécifiez le numéro de série du périphérique matériel en tant que numéro de série. Le format est spécifique au fournisseur. Par exemple, vous pouvez acheter un jeton gemalto auprès d'Amazon. Son numéro de série est généralement composé de quatre lettres suivies de quatre chiffres.

    aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
Important

Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, cette dernière échoue car les codes expirent après une courte période.

Resynchronisation des périphériques virtuels et matériels MFA ()AWS API

IAMpossède un API appel qui effectue la synchronisation. Dans ce cas, nous vous recommandons d'autoriser les utilisateurs de vos MFA appareils virtuels et matériels à accéder à cet API appel. Créez ensuite un outil basé sur cet API appel afin que vos utilisateurs puissent resynchroniser leurs appareils chaque fois qu'ils en ont besoin.

Pour resynchroniser un MFA périphérique virtuel ou matériel pour un IAM utilisateur ()AWS API

  • Envoyez la esyncMFADevice demande R.