Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Assegna dispositivi MFA nell' AWS CLI API o AWS
Puoi utilizzare AWS CLI comandi o operazioni AWS API per abilitare un dispositivo MFA virtuale per un utente IAM. Non è possibile abilitare un dispositivo MFA per il Utente root dell'account AWS AWS CLI, AWS API, Tools for Windows PowerShell o qualsiasi altro strumento da riga di comando. Tuttavia, è possibile utilizzare il Console di gestione AWS per abilitare un dispositivo MFA per l'utente root.
Quando abiliti un dispositivo MFA da Console di gestione AWS, la console esegue più passaggi per te. Se invece crei AWS CLI un dispositivo virtuale utilizzando Tools for Windows PowerShell o AWS API, devi eseguire i passaggi manualmente e nell'ordine corretto. Ad esempio, per creare un dispositivo MFA virtuale, è necessario creare l'oggetto IAM ed estrarre il codice sotto forma di stringa o di codice grafico QR. Quindi è necessario sincronizzare il dispositivo e associarlo a un utente IAM. Vedi la sezione Esempi di New- IAMVirtual MFADevice per maggiori dettagli. Per un dispositivo fisico, si salta la fase di creazione per andare direttamente a sincronizzare il dispositivo e associarlo con l'utente.
È possibile collegare tag alle risorse IAM, inclusi i dispositivi MFA virtuali, per identificare, organizzare e controllare l'accesso a tali risorse. È possibile etichettare i dispositivi MFA virtuali solo quando si utilizza l'API AWS CLI o AWS .
Un utente IAM che utilizza l'SDK o la CLI può abilitare un dispositivo MFA aggiuntivo chiamando EnableMFADevice o disattivarlo chiamando DeactivateMFADevice. Per eseguire correttamente questa operazione, devono prima chiamare GetSessionToken e inviare i codici MFA con un dispositivo MFA esistente. Questa chiamata restituisce credenziali di sicurezza temporanee che possono quindi essere utilizzate per firmare operazioni API che richiedono l'autenticazione MFA. Per un esempio di richiesta e risposta, consulta GetSessionToken: credenziali temporanee per gli utenti in ambienti non attendibili.
Creazione dell'entità del dispositivo virtuale in IAM in modo che rappresenti un dispositivo MFA virtuale
Questi comandi forniscono un ARN per il dispositivo che viene usato al posto di un numero di serie in molti dei seguenti comandi.
-
AWS CLI:
aws iam create-virtual-mfa-device -
AWS API:
CreateVirtualMFADevice
Per abilitare un dispositivo MFA da utilizzare con AWS
Questi comandi sincronizzano il dispositivo AWS e lo associano a un utente. Se il dispositivo è virtuale, utilizzare l'ARN di un dispositivo virtuale come numero di serie.
Importante
La richiesta deve essere inviata immediatamente dopo la generazione dei codici di autenticazione. Se dopo avere generato i codici attendi troppo a lungo prima di inviare la richiesta, il dispositivo MFA si associerà correttamente con l'utente, ma perderà la sincronizzazione. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. In questo caso, è possibile risincronizzare il dispositivo utilizzando i comandi descritti di seguito.
-
AWS CLI:
aws iam enable-mfa-device -
AWS API:
EnableMFADevice
Per disattivare un dispositivo
Utilizzare questi comandi per dissociare il dispositivo dall'utente e disattivarlo. Se il dispositivo è virtuale, utilizzare l'ARN di un dispositivo virtuale come numero di serie. È inoltre necessario eliminare separatamente l'entità del dispositivo virtuale.
-
AWS CLI:
aws iam deactivate-mfa-device -
AWS API:
DeactivateMFADevice
Elenco delle entità del dispositivo MFA virtuale
Utilizzare questi comandi per elencare le entità di un dispositivo MFA virtuale.
-
AWS CLI:
aws iam list-virtual-mfa-devices -
AWS API:
ListVirtualMFADevices
Per applicare tag a un dispositivo MFA virtuale
Utilizzare questi comandi per applicare tag a un dispositivo MFA virtuale.
-
AWS CLI:
aws iam tag-mfa-device -
AWS API:
TagMFADevice
Per elencare i tag per un dispositivo MFA virtuale
Utilizzare questi comandi per elencare i tag collegati a un dispositivo MFA virtuale.
-
AWS CLI:
aws iam list-mfa-device-tags -
AWS API:
ListMFADeviceTags
Per rimuovere i tag da un dispositivo MFA virtuale
Utilizzare questi comandi per rimuovere i tag collegati a un dispositivo MFA virtuale.
-
AWS CLI:
aws iam untag-mfa-device -
AWS API:
UntagMFADevice
Risincronizzare un dispositivo MFA
Usa questi comandi se il dispositivo genera codici che non sono accettati da AWS. Se il dispositivo è virtuale, utilizzare l'ARN di un dispositivo virtuale come numero di serie.
-
AWS CLI:
aws iam resync-mfa-device -
AWS API:
ResyncMFADevice
Come eliminare un'entità del dispositivo MFA virtuale in IAM
Dopo che il dispositivo è stato dissociato da parte dell'utente, è possibile eliminare l'entità del dispositivo.
-
AWS CLI:
aws iam delete-virtual-mfa-device -
AWS API:
DeleteVirtualMFADevice
Per recuperare un dispositivo MFA virtuale che è stato smarrito o non funziona
Potrebbe accadere che il dispositivo di un utente che ospita l'app MFA virtuale venga smarrito o sostituito o non funzioni. Quando ciò si verifica, l'utente non può recuperarlo autonomamente. L'utente deve contattare un amministratore per disattivare il dispositivo. Per ulteriori informazioni, consulta Recuperare un'identità protetta da MFA in IAM.
