为 Amazon Web Services 账户 根用户启用硬件 TOTP 令牌(控制台)
您只能从 Amazon Web Services Management Console 为根用户配置和启用实体 MFA 设备,而不能从 Amazon CLI 或 Amazon API 配置和启用。
如果您的 MFA 设备丢失、被盗或无法正常运行,您仍然可以使用替代的身份验证因素登录。如果您不能使用 MFA 设备登录,则可以使用和您的账户一起注册的电子邮件和电话验证您的身份来进行登录。为您的根用户启用 MFA 之前,请检查您的账户设置和联系信息,以确保您可以访问电子邮件地址和电话号码。要了解如何使用替代的身份验证因素登录,请参阅若 MFA 设备遗失或停止工作,该怎么办?。要禁用此功能,请联系Amazon Web Services Support
注意
您可能会看到不同的文本,例如使用 MFA 登录和排除您的身份验证设备故障。不过,它们提供了相同的功能。在任一情况下,如果您无法使用替代身份验证因素验证您的账户电子邮件地址和电话号码,请与 Amazon Web Services Support
为根用户启用 MFA 设备 (控制台)
-
选择 Root user(根用户)并输入您的 Amazon Web Services 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台
。在下一页上,输入您的密码。 注意
作为根用户,您无法登录到以 IAM 用户身份登录页面。如果您看到以 IAM 用户身份登录页面,请选择该页面底部附近的使用根用户电子邮件登录。要获取以根用户身份登录方面的帮助,请参阅《Amazon 登录 用户指南》中的以根用户身份登录 Amazon Web Services Management Console。
-
在导航栏的右侧选择您的账户名称,然后选择 Security credentials(安全凭证)。如有必要,选择 Continue to Security Credentials(继续使用安全凭证)。
-
展开 Multi-factor authentication (MFA) (多重验证) 部分。
-
选择 Assign MFA device(分配 MFA 设备)。
-
在向导中,键入 Device name(设备名称),选择 Hardware TOTP token(硬件 TOTP 令牌),然后选择 Next(下一步)。
-
在 Serial Number (序列号) 框中,键入在 MFA 设备背面找到的序列号。
-
在 MFA code 1 (MFA 代码 1) 框中,输入 MFA 设备显示的六位数编码。您需要按设备正面的按钮来显示编码。
-
在设备刷新期间等候 30 秒,然后在 MFA code 2 (MFA 代码 2) 框中键入第二个六位数编码。您需要再次按设备正面的按钮来显示第二个编码。
-
选择 Add MFA(添加 MFA)。MFA 设备现已与 Amazon Web Services 账户 相关联。
重要
在生成身份验证代码后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备。
下次使用根用户凭证登录时,您必须键入 MFA 设备生成的代码。