AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

重新同步 MFA 设备

作为 AWS 管理员,您可以将您的 IAM 用户不同步的 MFA 设备重新进行同步。如果用户尝试使用的设备并未同步,则将导致用户的登录尝试失败,IAM 会提示用户重新同步设备。

如果您的 AWS 账户根用户MFA 设备不工作,可以使用 IAM 控制台重新同步该设备 (完成登录过程与否均可实现)。

重新同步 MFA 设备(IAM 控制台)

您可以使用 IAM 控制台重新同步 MFA 设备。

为 IAM 用户重新同步 MFA 设备(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users,然后选择其 MFA 设备需要重新同步的用户的名称。

  3. 选择 Security Credentials 选项卡。选择 Assigned MFA device 旁的铅笔图标 ( )。

  4. Manage MFA Device 向导中,选择 Resynchronize MFA device,然后选择 Next Step

  5. 将通过设备生成的后面两个代码键入 Authentication Code 1Authentication Code 2 中。然后选择 Next Step

    重要

    生成代码之后立即提交您的请求。如果您生成代码,然后等待了很长时间才提交请求,则请求看起来有效,但实际上设备仍然不同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。

在登录前重新同步您的根用户MFA(控制台)

  1. Amazon Web Services Sign In With Authentication Device 页面上,选择 Having problems with your authentication device? Click here

    注意

    如果您使用在 2017 年 9 月 14 日以后创建的 AWS 账户,请在使用身份验证设备登录页面上选择排除您的身份验证设备故障

  2. Re-Sync With Our Servers 部分,将设备上生成的两个代码按顺序键入 Authentication Code 1Authentication Code 2。然后选择 Re-sync authentication device

  3. 如有必要,请再次键入您的密码,然后选择登录。然后使用您的 MFA 设备完成登录。

在登录后重新同步您的根用户MFA 设备(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航栏的右侧选择您的账户名称,然后选择 Security Credentials。如有必要,选择 Continue to Security Credentials

  3. 展开页面上的多重身份验证 (MFA) 部分。

  4. 选择您的活跃 MFA 设备旁的 Re-sync

  5. 管理 MFA 设备对话框中,将设备上生成的两个代码按顺序键入认证代码 1认证代码 2。然后选择 Next Step

    重要

    生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。

重新同步 MFA 设备 (AWS CLI)

您可以从 AWS CLI 重新同步 MFA 设备。

为 IAM 用户重新同步 MFA 设备 (AWS CLI)

在命令提示符处,发出 aws iam resync-mfa-device 命令:

  • 虚拟 MFA 设备:将设备的 Amazon 资源名称 (ARN) 指定为 SerialNumber

    $ aws iam resync-mfa-device --user-name Richard --serial-number arn:aws-cn:iam::123456789012:mfa/RichardsMFA --authentication-code-1 123456 --authentication-code-2 987654
  • 物理 MFA 设备:将物理设备的序列号指定为 SerialNumber。该格式是供应商特定的。

    PS C:\>Sync-IAMMFADevice -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Richard

重要

生成代码之后立即提交您的请求。如果您生成代码,然后等待了很长时间才提交请求,则请求将失败,因为代码很快就会过期。

重新同步 MFA 设备 (AWS API)

IAM 有一个执行同步的 API 调用。在这种情况下,建议您授予 MFA 用户访问此 API 调用的权限。您应基于此 API 调用构建工具,从而允许用户在需要时重新同步设备。

为 IAM 用户重新同步 MFA 设备 (AWS API)