重新同步虚拟和硬件 MFA 设备 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

重新同步虚拟和硬件 MFA 设备

您可以使用 Amazon 重新同步虚拟和硬件 Multi-Factor Authentication (MFA) 设备。如果您尝试使用的设备并未同步,则将导致用户的登录尝试失败,IAM 会提示您重新同步设备。

注意

U2F 安全密钥不同步。如果 U2F 安全密钥丢失或损坏,您可以停用它。有关停用任何 MFA 设备类型的说明,请参阅停用其他 IAM 用户的 MFA 设备(控制台)

作为 Amazon 管理员,您可以重新同步您的 IAM 用户无法同步的虚拟和硬件 MFA 设备。

如果您的 Amazon Web Services 账户 根用户 MFA 设备不工作,可以使用 IAM 控制台重新同步该设备(完成登录过程与否均可实现)。

所需权限

要为您自己的 IAM 用户重新同步虚拟或硬件 MFA 设备,您必须具有以下策略中的权限:此策略不允许您创建或停用设备。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListActions", "Effect": "Allow", "Action": [ "iam:ListVirtualMFADevices" ], "Resource": "*" }, { "Sid": "AllowUserToViewAndManageTheirOwnUserMFA", "Effect": "Allow", "Action": [ "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "BlockAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

重新同步虚拟和硬件 MFA 设备(IAM 控制台)

您可以使用 IAM 控制台重新同步虚拟和硬件 MFA 设备。

重新同步您自己 IAM 用户的虚拟或硬件 MFA 设备(控制台)

  1. 使用 Amazon 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台

    注意

    为方便起见,Amazon登录页面使用浏览器 Cookie 记住您的 IAM 用户名和账户信息。如果您之前以其他用户身份登录,请选择页面底部的 Sign-in to a different account(登录到其他账户)以返回主登录页面。在此处,您可以输入要重新导向到您账户 IAM 用户登录页面的 Amazon 账户 ID 或账户别名。

    要获取 Amazon 账户 ID,请联系管理员。

  2. 在右上角的导航栏中,选择您的用户名,然后选择 My Security Credentials (我的安全凭证)

    
                  Amazon 管理控制台的“My Security Credentials(我的安全凭证)”链接
  3. Amazon 凭证选项卡的 Multi-Factor Authentication(多重身份验证)部分中,选择 Manage MFA device(管理 MFA 设备)。

  4. Manage MFA device (管理 MFA 设备) 向导中,选择 Resync (重新同步),然后选择 Continue (继续)

  5. 依次将设备上按顺序生成的两个代码键入 MFA code 1 (MFA 代码 1)MFA code 2 (MFA 代码 2) 中。然后选择 Continue (继续)

    重要

    生成代码之后立即提交您的请求。如果您生成代码,然后等待了很长时间才提交请求,则请求看起来有效,但实际上设备仍然不同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。

重新同步其他 IAM 用户的虚拟或硬件 MFA 设备(控制台)

  1. 登录 Amazon Web Services Management Console,打开 IAM 控制台 https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Users,然后选择其 MFA 设备需要重新同步的用户的名称。

  3. 选择 Security Credentials 选项卡。在 Assigned MFA device (已分配 MFA 设备) 旁边,选择 Manage (管理)

  4. Manage MFA device (管理 MFA 设备) 向导中,选择 Resync (重新同步),然后选择 Continue (继续)

  5. 依次将设备上按顺序生成的两个代码键入 MFA code 1 (MFA 代码 1)MFA code 2 (MFA 代码 2) 中。然后选择 Continue (继续)

    重要

    生成代码之后立即提交您的请求。如果您生成代码,然后等待了很长时间才提交请求,则请求看起来有效,但实际上设备仍然不同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。

在登录前重新同步您的根用户 MFA(控制台)

  1. 在亚马逊云科技 Sign In With Authentication Device(亚马逊云科技使用身份验证设备登录)页面上,选择 Having problems with your authentication device?(身份验证设备出现问题?) Click here

    注意

    您可能会看到不同的文本,例如使用 MFA 登录排除您的身份验证设备故障。不过,它们提供了相同的功能。

  2. Re-Sync With Our Servers (与服务器重新同步) 部分中,依次将设备上按顺序生成的两个代码键入 MFA code 1 (MFA 代码 1)MFA code 2 (MFA 代码 2) 中。然后选择 Re-sync authentication device

  3. 如有必要,请再次键入您的密码,然后选择登录。然后使用您的 MFA 设备完成登录。

在登录后重新同步您的根用户 MFA 设备(控制台)

  1. 选择 Root user (根用户) 并输入您的 Amazon Web Services 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台。在下一页上,输入您的密码。

    注意

    如果显示了三个文本框,则您之前已使用 IAM 用户 凭证登录控制台。您的浏览器可能会记住此首选项,并在您每次尝试登录时打开此账户特定的登录页面。您无法使用 IAM 用户登录页面以账户拥有者身份进行登录。如果您看到 IAM 用户登录页面,请选择该页面底部附近的 Sign in using root user email(使用根用户电子邮件登录)。这将返回主登录页面。在该页面中,您可以使用 Amazon Web Services 账户 电子邮件地址和密码以根用户登录。

  2. 在导航栏的右侧选择您的账户名称,然后选择 My Security Credentials (我的安全凭证)。如有必要,选择 Continue to Security Credentials

    
                  导航菜单中的“My Security Credentials (我的安全凭证)”
  3. 展开页面上的 Multi-factor authentication (MFA) (多重身份验证) 部分。

  4. 在活动 MFA 设备的旁边,选择 Resync (重新同步)

  5. Manage MFA device (管理 MFA 设备) 对话框中,依次将设备上按顺序生成的两个代码键入 MFA code 1 (MFA 代码 1)MFA code 2 (MFA 代码 2) 中。然后选择 Continue (继续)

    重要

    生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。

重新同步虚拟和硬件 MFA 设备 (Amazon CLI)

您可以从 Amazon CLI 重新同步虚拟和硬件 MFA 设备。

重新同步 IAM 用户的虚拟或硬件 MFA 设备 (Amazon CLI)

在命令提示符处,发布 aws iam resync-mfa-device 命令:

  • 虚拟 MFA 设备:将设备的 Amazon 资源名称 (ARN) 指定为序列号。

    aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654
  • 硬件 MFA 设备:将硬件设备的序列号指定为序列号。格式因供应商而异。例如,您可以从 Amazon 购买 gemalto 令牌。它的序列号通常是四个字母,后跟四个数字。

    aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
重要

生成代码之后立即提交您的请求。如果您生成代码,然后等待了很长时间才提交请求,则请求将失败,因为代码很快就会过期。

重新同步虚拟和硬件 MFA 设备 (Amazon API)

IAM 有一个执行同步的 API 调用。在这种情况下,建议您授予虚拟和硬件 MFA 设备用户访问此 API 调用的权限。然后,基于此 API 调用构建工具,这样您的用户即可随时根据需要重新同步其设备。

重新同步 IAM 用户的虚拟或硬件 MFA 设备 (Amazon API)