Você pode ativar o MFA no acesso à API , mas todos os serviços que usam essas credenciais, incluindo o O CLI precisa usar credenciais de segurança temporárias (ou seja, você faz uma chamada AssumeRole fornecendo seu acesso key, secret e token MFA e retorna chaves de acesso temporário que são válidas enquanto a autenticação do MFA é válida).
Dito isso, geralmente é considerado uma boa prática separar suas contas de "Login" (ou seja, aquelas com as quais você faz login pelo AWS Console) de suas contas "Credenciais de acesso" (ou seja, onde as chaves da API são usadas outro software).Suas contas de "Login" devem ter o MFA ativado, mas sem credenciais de acesso. Você usa essa conta para criar outros usuários "Credenciais de acesso" que têm acesso limitado apenas aos serviços / funções que você precisa acessar especificamente.