本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
重新同步虛擬和硬體裝置 MFA
您可以使用重新同步處理虛擬和硬體多重 AWS 要素驗證 () MFA 裝置。如果您的裝置在嘗試使用時未同步處理,登入嘗試會失敗,並IAM提示您重新同步處理裝置。
注意
FIDO安全金鑰不會失去同步。如果FIDO安全金鑰遺失或損壞,您可以將其停用。如需停用任何MFA裝置類型的指示,請參閱停用其他IAM使用者MFA的裝置 (主控台)。
AWS 身為管理員,您可以在使用者的虛擬和硬體裝置不同步時,重新同步處理IAM使用者的虛擬和硬體MFA裝置。
如果您的 AWS 帳戶根使用者 MFA裝置無法運作,您可以使用IAM主機重新同步處理裝置,不論是否完成登入程序。如果您無法成功重新同步處理裝置,您可能需要為裝置取消關聯,再重新關聯此裝置。如需如何執行此作業的資訊,請參閱 停用MFA裝置 和 AWS 多因素身份驗證 IAM。
必要許可
若要為您自己的IAM使用者重新同步處理虛擬或硬體MFA裝置,您必須具有下列原則的權限。此政策不允許您建立或停用裝置。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListActions", "Effect": "Allow", "Action": [ "iam:ListVirtualMFADevices" ], "Resource": "*" }, { "Sid": "AllowUserToViewAndManageTheirOwnUserMFA", "Effect": "Allow", "Action": [ "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "BlockAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }
重新同步虛擬和硬體MFA裝置 (主控台) IAM
您可以使用IAM控制台重新同步虛擬和硬體MFA裝置。
為您自己的IAM使用者重新同步處理虛擬或硬體MFA裝置 (主控台)
-
使用您的 AWS 帳戶 ID 或帳戶別名、使用IAM者名稱和密碼登入IAM主控台
。 注意
為方便起見, AWS 登入頁面會使用瀏覽器 Cookie 來記住您的使用IAM者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 Sign in to a different account (登入不同的帳戶),返回主要登入頁面。您可以在該處輸入帳 AWS 戶 ID 或帳戶別名,以重新導向至您帳戶的IAM使用者登入頁面。
若要取得您的 AWS 帳戶 ID,請聯絡您的系統管理員。
-
在右上方的導覽列中,選擇您的使用者名稱,然後選擇 安全憑證 。
-
在 [AWS IAM認證] 索引標籤的 [多重要素驗證 (MFA)] 區段中,選擇MFA裝置旁邊的圓鈕,然後選擇 [重新同步]。
-
將裝置中接下來的兩個依序產生的代碼輸入字MFA碼 1 和字MFA碼 2 中。然後選擇 Resync (重新同步)。
重要
產生代碼之後立即提交您的請求。如果您產生代碼,然後等太久而無法提交請求、請求會出現運作,但裝置保持未同步。發生這種情況是因為基於時間的一次性密碼(TOTP)會在短時間後過期。
為其他IAM使用者重新同步虛擬或硬體MFA裝置 (主控台)
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在瀏覽窗格中,選擇 [使用者],然後選擇其MFA裝置需要重新同步處理的使用者名稱。
-
選擇 Security credentials (安全憑證) 索引標籤。在「多重要素驗證」(MFA) 區段中,選擇MFA裝置旁邊的圓鈕,然後選擇「重新同步」。
-
將裝置中接下來的兩個依序產生的代碼輸入字MFA碼 1 和字MFA碼 2 中。然後選擇 Resync (重新同步)。
重要
產生代碼之後立即提交您的請求。如果您產生代碼,然後等太久而無法提交請求、請求會出現運作,但裝置保持未同步。發生這種情況是因為基於時間的一次性密碼(TOTP)會在短時間後過期。
若要在登入MFA之前重新同步 root 使用者 (主控台)
-
在 Amazon Web Services Sign In With Authentication Device (使用身分驗證裝置登入 Amazon Web Services) 頁面上,選擇 Having problems with your authentication device? (您的身分驗證裝置登有問題? )。Click here (請點選此處)。
注意
您可能會看到不同的文字,例如「使用登入」MFA 和「疑難排解驗證裝置」。不過,其功能是相同的。
-
在「與我們的伺服器重新同步」區段中,將裝置中接下來的兩個依序產生的代碼輸入字MFA碼 1 和代MFA碼 2。然後選擇 Re-sync authentication device (重新同步身分驗證裝置)。
-
如果必要,再次輸入密碼,然後選擇登入。然後使用您的MFA設備完成登錄。
若要在登入後重新同步您的 root 使用者MFA裝置 (主控台)
-
選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入IAM主
控台。在下一頁中,輸入您的密碼。 注意
身為 root 使用者,您無法登入 [以IAM使用者身分登入] 頁面。如果您看到 [以使用IAM者身分登入] 頁面,請選擇頁面底部附近的 [使用 root 使用者電子郵件登入]。如需以 root 使用者身分登入的說明,請參閱《使用指南》中的「以 root 使用者身分登入」AWS 登入 。 AWS Management Console
-
在導覽列右側選擇您的帳戶名稱,然後選擇 安全憑證 。如有需要,選擇 Continue to Security Credentials (繼續至安全憑證)。
-
展開頁面上的多重要素驗證 (MFA) 區段。
-
選擇裝置旁的選項按鈕,然後選取 Resync (重新同步)。
-
在 [重新同步MFA裝置] 對話方塊中,將裝置中接下來的兩個依序產生的代碼輸入字MFA碼 1 和字MFA碼 2。然後選擇 Resync (重新同步)。
重要
產生代碼之後立即提交您的請求。如果您產生驗證碼,然後等待太長時間才能提交要求,則MFA裝置已成功與使用者建立關聯,但MFA裝置不同步。發生這種情況是因為基於時間的一次性密碼(TOTP)會在短時間後過期。
重新同步虛擬和硬體MFA裝置 ()AWS CLI
您可以從重新同步虛擬和硬體MFA裝置。 AWS CLI
為IAM使用者重新同步虛擬或硬體MFA裝置 ()AWS CLI
在命令提示字元中,發出 aws iam resync-mfa-device 命令:
-
虛擬MFA裝置:指定裝置的 Amazon 資源名稱 (ARN) 作為序號。
aws iam resync-mfa-device --user-nameRichard--serial-number arn:aws:iam::123456789012:mfa/RichardsMFA--authentication-code1123456--authentication-code2987654 -
硬體MFA裝置:將硬體裝置的序號指定為序號。格式為廠商特定。例如,您可以從 Amazon 購買 gemalto 權杖。其序號通常是四個字母,後面接著四個數字。
aws iam resync-mfa-device --user-nameRichard--serial-numberABCD12345678--authentication-code1123456--authentication-code2987654
重要
產生代碼之後立即提交您的請求。如果您產生代碼,然後因等太久而無法提交請求、請求會因代碼在不久後過期而失敗。
重新同步虛擬和硬體MFA裝置 ()AWS API
IAM有執行同步處理的API呼叫。在此情況下,建議您授與虛擬和硬體MFA裝置使用者存取此API呼叫的權限。然後根據該API呼叫構建工具,以便您的用戶可以在需要時重新同步其設備。
為IAM使用者重新同步虛擬或硬體MFA裝置 ()AWS API
-
發送 R esyncMFADevice 請求。
