AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

启用和管理虚拟 MFA 设备(AWS CLI 或 AWS API)

您可以使用 AWS CLI 命令或 AWS API 操作为 IAM 用户启用虚拟 MFA 设备。您无法使用 AWS CLI、AWS API、Windows PowerShell 工具 或任何其他命令行工具为AWS 账户根用户启用 MFA 设备。不过,您可以使用 AWS 管理控制台为根用户启用 MFA 设备。

当您从 AWS 管理控制台启用 MFA 设备时,控制台会为您执行多个步骤。如果您改用 AWS CLI、Windows PowerShell 工具 或 AWS API 创建虚拟设备,则必须按正确的顺序手动执行这些步骤。例如,要创建虚拟 MFA 设备,您必须创建 IAM 对象,将代码提取为字符串或 QR 代码图形。然后,您必须同步该设备并将其与 IAM 用户关联。有关更多详细信息,请参阅 New-IAMVirtualMFADevice示例部分。对于物理设备,您可以跳过创建步骤,直接同步该设备并将其与用户关联。

在 IAM 中创建虚拟设备实体来代表虚拟 MFA 设备

这些命令提供在以下许多命令中代替序列号的设备 ARN。

启用 MFA 设备,以便在 AWS 上使用

这些命令将设备与 AWS 同步,并将其与用户或 根用户 关联。如果设备是虚拟设备,则将虚拟设备的 ARN 用作序列号。

重要

在生成身份验证代码后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。如果发生这种情况,可以使用下面介绍的命令重新同步设备。

停用设备

使用这些命令可取消设备与用户的关联并停用设备。如果设备是虚拟设备,则将虚拟设备的 ARN 用作序列号。您还必须单独删除虚拟设备实体。

列出虚拟 MFA 设备实体

使用以下命令列出虚拟 MFA 设备实体。

重新同步 MFA 设备

如果设备生成的代码不被 AWS 接受,则使用这些命令。如果设备是虚拟设备,则将虚拟设备的 ARN 用作序列号。

删除 IAM 中的虚拟 MFA 设备实体

在取消设备与用户的关联后,可以删除设备实体。