Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Assegna MFA dispositivi in o AWS CLIAWS API
È possibile utilizzare AWS CLI comandi o AWS API operazioni per abilitare un MFA dispositivo virtuale per un IAM utente. Non è possibile abilitare un MFA dispositivo per il Utente root dell'account AWS con AWS CLI, AWS API, Tools for Windows PowerShell o qualsiasi altro strumento da riga di comando. Tuttavia, è possibile utilizzare il AWS Management Console per abilitare un MFA dispositivo per l'utente root.
Quando abiliti un MFA dispositivo da AWS Management Console, la console esegue automaticamente più passaggi. Se invece crei AWS CLI un dispositivo virtuale utilizzando Tools for Windows o PowerShell AWS API, devi eseguire i passaggi manualmente e nell'ordine corretto. Ad esempio, per creare un MFA dispositivo virtuale, è necessario creare l'IAMoggetto ed estrarre il codice sotto forma di stringa o codice QR. È quindi necessario sincronizzare il dispositivo e associarlo a un IAM utente. Vedi la sezione Esempi di New- IAMVirtualMFADevice per maggiori dettagli. Per un dispositivo fisico, si salta la fase di creazione per andare direttamente a sincronizzare il dispositivo e associarlo con l'utente.
Puoi allegare tag alle tue IAM risorse, inclusi MFA i dispositivi virtuali, per identificarle, organizzarle e controllarne l'accesso. È possibile etichettare MFA i dispositivi virtuali solo quando si utilizza AWS CLI o AWS API.
Un IAM utente che utilizza SDK o CLI può abilitare un MFA dispositivo aggiuntivo chiamando EnableMFADevice
o disattivare un MFA dispositivo esistente DeactivateMFADevice
chiamando. Per farlo con successo, devono prima chiamare GetSessionToken
e inviare MFA codici con un MFA dispositivo esistente. Questa chiamata restituisce credenziali di sicurezza temporanee che possono quindi essere utilizzate per firmare API operazioni che richiedono MFA l'autenticazione. Per un esempio di richiesta e risposta, consulta GetSessionToken
: credenziali temporanee per gli utenti in ambienti non attendibili.
Per creare l'entità del dispositivo virtuale in modo IAM da rappresentare un dispositivo virtuale MFA
Questi comandi forniscono un numero ARN per il dispositivo che viene utilizzato al posto di un numero di serie in molti dei seguenti comandi.
-
AWS CLI:
aws iam create-virtual-mfa-device
-
AWS API:
CreateVirtualMFADevice
Per abilitare un MFA dispositivo all'uso con AWS
Questi comandi sincronizzano il dispositivo AWS e lo associano a un utente. Se il dispositivo è virtuale, usa il ARN del dispositivo virtuale come numero di serie.
Importante
La richiesta deve essere inviata immediatamente dopo la generazione dei codici di autenticazione. Se generi i codici e poi attendi troppo a lungo per inviare la richiesta, il MFA dispositivo si associa correttamente all'utente ma il MFA dispositivo non è sincronizzato. Ciò accade perché le password monouso basate sul tempo (TOTP) scadono dopo un breve periodo di tempo. In questo caso, è possibile risincronizzare il dispositivo utilizzando i comandi descritti di seguito.
-
AWS CLI:
aws iam enable-mfa-device
-
AWS API:
EnableMFADevice
Per disattivare un dispositivo
Utilizzare questi comandi per dissociare il dispositivo dall'utente e disattivarlo. Se il dispositivo è virtuale, usa il ARN del dispositivo virtuale come numero di serie. È inoltre necessario eliminare separatamente l'entità del dispositivo virtuale.
-
AWS CLI:
aws iam deactivate-mfa-device
-
AWS API:
DeactivateMFADevice
Per elencare le entità MFA del dispositivo virtuale
Usa questi comandi per elencare le entità dei MFA dispositivi virtuali.
-
AWS CLI:
aws iam list-virtual-mfa-devices
-
AWS API:
ListVirtualMFADevices
Per etichettare un MFA dispositivo virtuale
Usa questi comandi per etichettare un MFA dispositivo virtuale.
-
AWS CLI:
aws iam tag-mfa-device
-
AWS API:
TagMFADevice
Per elencare i tag per un MFA dispositivo virtuale
Usa questi comandi per elencare i tag associati a un MFA dispositivo virtuale.
-
AWS CLI:
aws iam list-mfa-device-tags
-
AWS API:
ListMFADeviceTags
Per rimuovere i tag da un dispositivo virtuale MFA
Usa questi comandi per rimuovere i tag allegati a un MFA dispositivo virtuale.
-
AWS CLI:
aws iam untag-mfa-device
-
AWS API:
UntagMFADevice
Per risincronizzare un dispositivo MFA
Utilizzate questi comandi se il dispositivo genera codici che non sono accettati da. AWS Se il dispositivo è virtuale, usa il ARN del dispositivo virtuale come numero di serie.
-
AWS CLI:
aws iam resync-mfa-device
-
AWS API:
ResyncMFADevice
Per eliminare un'entità di MFA dispositivo virtuale in IAM
Dopo che il dispositivo è stato dissociato da parte dell'utente, è possibile eliminare l'entità del dispositivo.
-
AWS CLI:
aws iam delete-virtual-mfa-device
-
AWS API:
DeleteVirtualMFADevice
Per ripristinare un MFA dispositivo virtuale perso o non funzionante
A volte, il dispositivo di un utente che ospita l'MFAapp virtuale viene perso, sostituito o non funziona. Quando ciò si verifica, l'utente non può recuperarlo autonomamente. L'utente deve contattare un amministratore per disattivare il dispositivo. Per ulteriori informazioni, consulta Recupera un'identità MFA protetta in IAM.