AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

重新同步 MFA 设备

作为 AWS 管理员,您可以将您的 IAM 用户不同步的 MFA 设备重新进行同步。如果用户尝试使用的设备并未同步,则将导致用户的登录尝试失败,IAM 会提示用户重新同步设备。

如果您的 AWS 账户根用户 MFA 设备不工作,可以使用 IAM 控制台重新同步该设备 (完成登录过程与否均可实现)。

重新同步 MFA 设备 (IAM 控制台)

为 IAM 用户重新同步 MFA 设备 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users,然后选择其 MFA 设备需要重新同步的用户的名称。

  3. 选择 Security Credentials 选项卡。选择 Assigned MFA device 旁的铅笔图标 ( )。

  4. Manage MFA Device 向导中,选择 Resynchronize MFA device,然后选择 Next Step

  5. 将通过设备生成的后面两个代码键入 Authentication Code 1Authentication Code 2 中。然后选择 Next Step

    重要

    生成代码之后立即提交您的请求。如果您生成代码,然后等待了很长时间才提交请求,则请求看起来有效,但实际上设备仍然不同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。

在登录前重新同步您的 根用户 MFA (控制台)

  1. Amazon Web Services Sign In With Authentication Device 页面上,选择 Having problems with your authentication device? Click here

    注意

    如果您使用在 2017 年 9 月 14 日以后创建的 AWS 账户,请在使用身份验证设备登录页面上选择排除您的身份验证设备故障

  2. Re-Sync With Our Servers 部分,将设备上生成的两个代码按顺序键入 Authentication Code 1Authentication Code 2。然后选择 Re-sync authentication device

  3. 如果需要,请再次键入您的密码,然后选择 Sign in。然后使用您的 MFA 设备完成登录。

在登录后重新同步您的 根用户 MFA 设备 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航栏的右侧选择您的账户名称,然后选择 Security Credentials。如有必要,选择 Continue to Security Credentials

  3. 展开页面上的 Multi-Factor Authentication (MFA) 部分。

  4. 选择您的活跃 MFA 设备旁的 Re-sync

  5. Manage MFA Device 对话框中,将设备上生成的两个代码按顺序键入 Authentication Code 1Authentication Code 2。然后选择 Next Step

    重要

    生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。

重新同步 MFA 设备 (AWS CLI)

为 IAM 用户重新同步 MFA 设备 (AWS CLI)

  • 在命令提示符处,发出 aws iam resync-mfa-device 命令:

    • 虚拟 MFA 设备:将设备的 Amazon 资源名称 (ARN) 指定为 SerialNumber

      $ aws iam resync-mfa-device --user-name Bob --serial-number arn:aws-cn:iam::123456789012:mfa/BobsMFA --authentication-code-1 123456 --authentication-code-2 987654
    • 物理 MFA 设备:将物理设备的序列号指定为 SerialNumber。该格式是供应商特定的。

      PS C:\>Sync-IAMMFADevice -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Bob

    重要

    生成代码之后立即提交您的请求。如果您生成代码,然后等待了很长时间才提交请求,则请求将失败,因为代码很快就会过期。

Windows PowerShell 工具

为 IAM 用户重新同步 MFA 设备 (Windows PowerShell 工具)

  • 使用 Sync-IAMMFADevice cmdlet:

    • 虚拟 MFA 设备:将设备的 Amazon 资源名称 (ARN) 指定为 SerialNumber

      PS C:\>Sync-IAMMFADevice -UserName Bob -SerialNumber arn:aws-cn:iam::123456789012:mfa/BobsMFA -AuthenticationCode1 123456 -AuthenticationCode2 987654
    • 物理 MFA 设备:将物理设备的序列号指定为 SerialNumber。该格式是供应商特定的。

      PS C:\>Sync-IAMMFADevice -UserName Bob -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654

    重要

    生成代码之后立即提交您的请求。如果您生成代码,然后等待了很长时间才提交请求,则请求看起来有效,但实际上设备仍然不同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。

IAM API

IAM 有一个执行同步的 API 调用。在这种情况下,建议您授予 MFA 用户访问此 API 调用的权限。您应基于此 API 调用构建工具,从而允许用户在需要时重新同步设备。

为 IAM 用户重新同步 MFA 设备 (API)