本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 重新同步虛擬和硬體 MFA 裝置
您可以使用 AWS 來重新同步虛擬和硬體多重要素驗證 (MFA) 裝置。如果您的裝置在您嘗試使用時未同步,登入嘗試失敗,且 IAM 提示您重新同步裝置。
**注意**
FIDO 安全性金鑰不會失去同步。若 FIDO 安全性金鑰遺失或損壞,您可以停用它。如需停用任何 MFA 裝置類型的說明,請參閱 [為另一個 IAM 使用者停用 MFA 裝置 (主控台)](id_credentials_mfa_disable.md#deactivate-mfa-for-user)。
身為 AWS 管理員,如果 IAM 使用者的虛擬和硬體 MFA 裝置不同步,您可以重新同步它們。
如果您的 AWS 帳戶根使用者 MFA 裝置無法運作,您可以使用 IAM 主控台重新同步裝置,無論是否完成登入程序。如果您無法成功重新同步處理裝置,您可能需要為裝置取消關聯,再重新關聯此裝置。如需如何執行此作業的資訊,請參閱 [停用 MFA 裝置](id_credentials_mfa_disable.md) 和 [AWS IAM 中的多重要素驗證](id_credentials_mfa.md)。
**Topics**
+ [必要許可](#id_credentials_mfa_sync_console-permissions-required)
+ [重新同步虛擬及硬體 MFA 裝置 (IAM 主控台)](#id_credentials_mfa_sync_console)
+ [重新同步虛擬及硬體 MFA 裝置 (AWS CLI)](#id_credentials_mfa_sync_cli)
+ [重新同步虛擬和硬體 MFA 裝置 (AWS API)](#id_credentials_mfa_sync_api)
## 必要許可
若要為自己的 IAM 使用者重新同步虛擬或硬體 MFA 裝置,您必須擁有以下政策的許可。此政策不允許您建立或停用裝置。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListActions",
"Effect": "Allow",
"Action": [
"iam:ListVirtualMFADevices"
],
"Resource": "*"
},
{
"Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "BlockAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
## 重新同步虛擬及硬體 MFA 裝置 (IAM 主控台)
您可以使用 IAM 主控台來重新同步虛擬及硬體 MFA 裝置。
**重新同步您 IAM 使用者的虛擬或硬體 MFA 裝置 (主控台)**
1. 使用 AWS 您的帳戶 ID 或帳戶別名、IAM 使用者名稱和密碼登入 [IAM 主控台](https://console.aws.amazon.com/iam)。
**注意**
為了方便起見, AWS 登入頁面會使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 **Sign in to a different account** (登入不同的帳戶),返回主要登入頁面。在那裡,您可以輸入要重新導向至 AWS 您帳戶的 IAM 使用者登入頁面的帳戶 ID 或帳戶別名。
若要取得您的 AWS 帳戶 ID,請聯絡您的管理員。
1. 在右上方的導覽列中,選擇您的使用者名稱,然後選擇 **安全憑證** 。
![\[AWS 管理主控台安全登入資料連結\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. 在 **AWS IAM 憑證** 標籤的 **多重要素驗證 (MFA)** 區段選擇 MFA 裝置旁的選項按鈕,然後選擇 **重新同步**。
1. 將裝置接下來連續產生的兩個代碼輸入 **MFA code 1 (MFA 代碼 1)** 和 **MFA code 2 (MFA 代碼 2)**。然後選擇 **Resync** (重新同步)。
**重要**
產生代碼之後立即提交您的請求。如果您產生代碼,然後等太久而無法提交請求、請求會出現運作,但裝置保持未同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。
**重新同步另一個 IAM 使用者的虛擬或硬體 MFA 裝置 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Users (使用者)**,然後選擇需要重新同步 MFA 裝置的使用者名稱。
1. 選擇 **Security credentials** (安全憑證) 索引標籤。在 **多重要素驗證 (MFA)** 區段中選擇 MFA 裝置旁的選項按鈕,然後選擇 **重新同步**。
1. 將裝置接下來連續產生的兩個代碼輸入 **MFA code 1 (MFA 代碼 1)** 和 **MFA code 2 (MFA 代碼 2)**。然後選擇 **Resync** (重新同步)。
**重要**
產生代碼之後立即提交您的請求。如果您產生代碼,然後等太久而無法提交請求、請求會出現運作,但裝置保持未同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。
**登入前重新同步根使用者 MFA (主控台)**
1. 在 **Amazon Web Services Sign In With Authentication Device** (使用身分驗證裝置登入 Amazon Web Services) 頁面上,選擇 **Having problems with your authentication device? (您的身分驗證裝置登有問題? )。Click here (請點選此處)**。
**注意**
您可能會看到不同的文字,例如**使用 MFA 登入**和**對您的身分驗證裝置進行疑難排解**。不過,其功能是相同的。
1. 在 **Re-Sync With Our Servers (與我們的伺服器重新同步)** 區段中,將裝置接下來連續產生的兩個代碼輸入 **MFA code 1 (MFA 代碼 1)** 和 **MFA code 2 (MFA 代碼 2)**。然後選擇 **Re-sync authentication device (重新同步身分驗證裝置)**。
1. 如果必要,再次輸入密碼,然後選擇**登入**。然後,使用您的 MFA 裝置完成登入。
**登入後重新同步根使用者 MFA 裝置 (主控台)**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者身分登入 [IAM 主控台](https://console.aws.amazon.com/iam/)。在下一頁中,輸入您的密碼。
**注意**
根使用者無法登入 **以 IAM 使用者身分登入** 頁面。如果您看到 **以 IAM 使用者身分登入** 頁面,請選擇頁面底部附近的 **使用根使用者電子郵件登入**。如需以根使用者身分登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to- root-user-sign-in-tutorial.html) 。
1. 在導覽列右側選擇您的帳戶名稱,然後選擇 **安全憑證** 。如有需要,選擇 **Continue to Security Credentials** (繼續至安全憑證)。
![\[在導覽選單中的安全憑證\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 展開頁面上的 **Multi-factor authentication (MFA)** (多重要素驗證 (MFA)) 區段。
1. 選擇裝置旁的選項按鈕,然後選取 **Resync** (重新同步)。
1. 在 **Resync MFA device** (重新同步 MFA 裝置) 對話方塊中,將裝置接下來連續產生的兩個代碼輸入 **MFA code 1** (MFA 代碼 1) 和 **MFA code 2** (MFA 代碼 2)。然後選擇 **Resync** (重新同步)。
**重要**
產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置將不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。
## 重新同步虛擬及硬體 MFA 裝置 (AWS CLI)
您可以從 AWS CLI重新同步虛擬及硬體 MFA 裝置。
**重新同步 IAM 使用者的虛擬或硬體 MFA 裝置 (AWS CLI)**
在命令提示字元中,發出 [aws iam resync-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html) 命令:
+ 虛擬 MFA 裝置:將裝置的 Amazon Resource Name (ARN) 指定為序號。
```
aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654
```
+ 硬體 MFA 裝置:將硬體裝置的序號指定為序號。格式為廠商特定。例如,您可以從 Amazon 購買 gemalto 權杖。其序號通常是四個字母,後面接著四個數字。
```
aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
```
**重要**
產生代碼之後立即提交您的請求。如果您產生代碼,然後因等太久而無法提交請求、請求會因代碼在不久後過期而失敗。
## 重新同步虛擬和硬體 MFA 裝置 (AWS API)
IAM 有一個執行同步化的 API 呼叫。在這種情況下,建議您提供您的虛擬及硬體 MFA 裝置使用者許可,讓其存取此 API 呼叫。然後根據該 API 呼叫建置工具,讓使用者在需要時能隨時重新同步他們的裝置。
**重新同步 IAM 使用者 (AWS API) 的虛擬或硬體 MFA 裝置**
+ 傳送 [ResyncMFADevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html) 請求。