在 AWS CLI 或中指派MFA裝置 AWS API - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS CLI 或中指派MFA裝置 AWS API

您可以使用 AWS CLI 命令或 AWS API操作為使用IAM者啟用虛擬MFA裝置。您無法使MFA用 AWS CLI、 AWS API、Windows PowerShell 工具或任何其他指令行工具啟用設備。 AWS 帳戶根使用者 不過,您可以使 AWS Management Console 用為 root 使用者啟用MFA裝置。

當您從啟用MFA裝置時 AWS Management Console,主控台會為您執行多個步驟。如果您改為使用 Windows PowerShell 工具或建立虛擬裝置 AWS API,則必須以正確的順序手動執行步驟。 AWS CLI例如,若要建立虛擬MFA裝置,您必須建立IAM物件,並將程式碼擷取為字串或 QR 碼圖形。然後,您必須同步設備並將其與用IAM戶關聯。如需更多詳細資訊,請參閱 New-IAMVirtualMFADevice範例一節。對於實體裝置,您可以跳過建立步驟,直接同步該裝置並將其與使用者建立關聯。

您可以將標籤附加到資IAM源 (包括虛擬MFA裝置),以識別、組織和控制對這些資源的存取。您只能在使用 AWS CLI 或時標記虛擬MFA裝置 AWS API。

使用IAM者CLI可透過撥打SDK或停用現有MFA裝置來啟用EnableMFADevice或啟用其他MFA裝置DeactivateMFADevice。要成功執行此操作,他們必須首先使用現有MFA設備撥打GetSessionToken並提交MFA代碼。此呼叫會傳回臨時安全性憑證,然後可用來簽署需要MFA驗證的API作業。如需要求和回應的範例,請參閱 GetSessionToken - 不受信任環境中使用者的暫時憑證

若要在中建立虛擬裝置實體IAM以代表虛擬MFA裝置

這些指令會ARN針對以下許多指令中用來取代序號的裝置提供。

啟用MFA裝置以搭配使用 AWS

這些指令會將裝置與使用者同步, AWS 並將其與使用者建立關聯。如果裝置是虛擬裝置,請使用虛擬裝置作為序號。ARN

重要

產生驗證代碼之後立即提交您的請求。如果您產生驗證碼,然後等待太長時間才能提交要求,則MFA裝置會成功與使用者建立關聯,但MFA裝置會變成不同步。發生這種情況是因為基於時間的一次性密碼(TOTP)會在短時間後過期。如果發生這種情況,可以使用下面介紹的命令重新同步裝置。

停用裝置

這些命令將取消裝置與使用者間的關聯並停用裝置。如果裝置是虛擬裝置,請使用虛擬裝置作為序號。ARN您也必須單獨刪除虛擬裝置實體。

列出虛擬MFA裝置實體

使用這些命令列出虛擬MFA裝置實體。

標記虛擬MFA裝置

使用這些指令來標記虛擬MFA裝置。

列出虛擬MFA裝置的標籤

使用這些指令列出連接至虛擬MFA裝置的標籤。

取消標記虛擬裝MFA置

使用這些指令移除連接至虛擬MFA裝置的標籤。

重新同步處理裝置 MFA

如果設備正在生成不被接受的代碼,請使用這些命令 AWS。如果裝置是虛擬裝置,請使用虛擬裝置作為序號。ARN

若要刪除中的虛擬MFA裝置實體 IAM

在裝置與使用者取消關聯後,您可以刪除裝置實體。

若要復原遺失或無法正常運作的虛擬MFA裝置

有時,託管虛擬MFA應用程序的用戶設備丟失,替換或無法正常工作。當這種情況發生時,使用者無法自行復原。使用者必須聯絡管理員以停用裝置。如需詳細資訊,請參閱復原受MFA保護的身分 IAM