MFA デバイス登録時エラーの対処法

MFA デバイス登録時エラーの対処法

Clock Icon2024.01.24

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていること

IAM ユーザーの作成を行いました。 以下のエラーが発生し てMFA デバイス登録が出来ません。対処法を教えてください。

エラー例 1  
User: arn:aws:iam::123456789012:user/IAM-MFA is not authorized to perform:iam:ListVirtualMFADevices on resource:arn:aws:iam123456789012:mfa/with an explicit deny in an identity-based policy
エラー例 2  
User: arn:aws:iam::123456789012:user/IAM-MFA is not authorized to perform:iam:CreateVirtualMFADevice on resource:arn:aws:iam::123456789012:mfa/Test because no identity-based policy allows the iam:CreateVirtualMFADevice action

作成した IAM ユーザーにアタッチしているへアタッチしているカスタマー管理ポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1234567890",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:ResyncMFADevice",
                "iam:ListMFADevices"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "0987654321",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:ResyncMFADevice",
                "iam:ListMFADevices",
                "iam:ChangePassword",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

どう対応すればいいの?

現在、これまで 1 つしか登録できなかった IAM ユーザー もしくは root アカウ