Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tetapkan MFA perangkat di atau AWS CLIAWS API
Anda dapat menggunakan AWS CLI perintah atau AWS API operasi untuk mengaktifkan MFA perangkat virtual bagi IAM pengguna. Anda tidak dapat mengaktifkan MFA perangkat untuk Pengguna root akun AWS dengan AWS CLI, AWS API, Alat untuk Windows PowerShell, atau alat baris perintah lainnya. Namun, Anda dapat menggunakan AWS Management Console untuk mengaktifkan MFA perangkat untuk pengguna root.
Saat Anda mengaktifkan MFA perangkat dari AWS Management Console, konsol melakukan beberapa langkah untuk Anda. Jika Anda malah membuat perangkat virtual menggunakan AWS CLI, Alat untuk Windows PowerShell, atau AWS API, maka Anda harus melakukan langkah-langkah secara manual dan dalam urutan yang benar. Misalnya, untuk membuat MFA perangkat virtual, Anda harus membuat IAM objek dan mengekstrak kode sebagai string atau grafik kode QR. Maka Anda harus menyinkronkan perangkat dan mengaitkannya dengan IAM pengguna. Lihat bagian Contoh Baru- IAMVirtualMFADevice untuk lebih jelasnya. Untuk perangkat fisik, Anda melompati langkah pembuatan dan langsung menuju sinkronisasi perangkat dan mengaitkannya dengan pengguna.
Anda dapat melampirkan tag ke IAM sumber daya Anda, termasuk MFA perangkat virtual, untuk mengidentifikasi, mengatur, dan mengontrol akses ke mereka. Anda dapat menandai MFA perangkat virtual hanya ketika Anda menggunakan AWS CLI atau AWS API.
IAMPengguna yang menggunakan SDK atau CLI dapat mengaktifkan MFA perangkat tambahan dengan memanggil EnableMFADevice
atau menonaktifkan MFA perangkat yang ada dengan menelepon DeactivateMFADevice
. Untuk melakukan ini dengan sukses, mereka harus terlebih dahulu memanggil GetSessionToken
dan mengirimkan MFA kode dengan MFA perangkat yang ada. Panggilan ini mengembalikan kredensi keamanan sementara yang kemudian dapat digunakan untuk menandatangani API operasi yang memerlukan MFA otentikasi. Untuk contoh permintaan dan respons, lihat GetSessionToken
—kredensial sementara untuk pengguna di lingkungan yang tidak tepercaya.
Untuk membuat entitas perangkat virtual IAM untuk mewakili MFA perangkat virtual
Perintah ini menyediakan ARN untuk perangkat yang digunakan sebagai pengganti nomor seri di banyak perintah berikut.
-
AWS CLI:
aws iam create-virtual-mfa-device
-
AWS API:
CreateVirtualMFADevice
Untuk mengaktifkan MFA perangkat untuk digunakan dengan AWS
Perintah ini menyinkronkan perangkat dengan AWS dan mengaitkannya dengan pengguna. Jika perangkat virtual, gunakan perangkat virtual sebagai nomor seri. ARN
penting
Segera kirim permintaan Anda setelah membuat kode autentikasi. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirimkan permintaan, MFA perangkat berhasil dikaitkan dengan pengguna tetapi MFA perangkat menjadi tidak sinkron. Ini terjadi karena kata sandi satu kali berbasis waktu (TOTP) kedaluwarsa setelah periode waktu yang singkat. Jika ini terjadi, Anda dapat mensinkronisasi ulang perangkat menggunakan perintah yang dijelaskan di bawah ini.
-
AWS CLI:
aws iam enable-mfa-device
-
AWS API:
EnableMFADevice
Untuk menonaktifkan perangkat
Gunakan perintah ini untuk memisahkan perangkat dari pengguna dan menonaktifkannya. Jika perangkat virtual, gunakan perangkat virtual sebagai nomor seri. ARN Anda juga harus menghapus perangkat virtual secara terpisah.
-
AWS CLI:
aws iam deactivate-mfa-device
-
AWS API:
DeactivateMFADevice
Untuk mencantumkan entitas MFA perangkat virtual
Gunakan perintah ini untuk membuat daftar entitas MFA perangkat virtual.
-
AWS CLI:
aws iam list-virtual-mfa-devices
-
AWS API:
ListVirtualMFADevices
Untuk menandai MFA perangkat virtual
Gunakan perintah ini untuk menandai MFA perangkat virtual.
-
AWS CLI:
aws iam tag-mfa-device
-
AWS API:
TagMFADevice
Untuk membuat daftar tag untuk MFA perangkat virtual
Gunakan perintah ini untuk membuat daftar tag yang dilampirkan ke MFA perangkat virtual.
-
AWS CLI:
aws iam list-mfa-device-tags
-
AWS API:
ListMFADeviceTags
Untuk menghapus tag perangkat virtual MFA
Gunakan perintah ini untuk menghapus tag yang dilampirkan ke MFA perangkat virtual.
-
AWS CLI:
aws iam untag-mfa-device
-
AWS API:
UntagMFADevice
Untuk menyinkronkan ulang perangkat MFA
Gunakan perintah ini jika perangkat menghasilkan kode yang tidak diterima oleh AWS. Jika perangkat virtual, gunakan perangkat virtual sebagai nomor seri. ARN
-
AWS CLI:
aws iam resync-mfa-device
-
AWS API:
ResyncMFADevice
Untuk menghapus entitas MFA perangkat virtual di IAM
Setelah perangkat diputus kaitannya dari pengguna, Anda dapat menghapus entitas perangkat.
-
AWS CLI:
aws iam delete-virtual-mfa-device
-
AWS API:
DeleteVirtualMFADevice
Untuk memulihkan MFA perangkat virtual yang hilang atau tidak berfungsi
Terkadang, perangkat pengguna yang meng-host MFA aplikasi virtual hilang, diganti, atau tidak berfungsi. Jika ini terjadi, pengguna tidak dapat memulihkannya sendiri. Pengguna harus menghubungi administrator untuk menonaktifkan perangkat. Untuk informasi selengkapnya, lihat Memulihkan identitas yang MFA dilindungi di IAM.