aws-vault に virtual MFA (TOTP) を設定する

症状

aws-vault exec <profile> -- aws iam list-roles が次のエラーで停止:

InvalidClientTokenId: The security token included in the request is invalid

しかし aws sts get-caller-identity は同じ session で通る。

原因

account にある IAM 権限境界 (boundary policy / SCP / inline policy) が「IAM API は MFA 認証された session でのみ許可」というルールを持っている。aws-vault のデフォルト session は sts:GetSessionToken を MFA なしで取得するため、IAM API だけ弾かれる。

解決手順

1. AWS Console で virtual MFA device を登録