在 Amazon 中使用多重身份验证 (MFA)
为增强安全性,我们建议您配置 Multi-Factor Authentication (MFA) 以帮助保护 Amazon 资源。您可以为 Amazon Web Services 账户根用户 和 IAM 用户启用 MFA。当您为根用户启用 MFA 时,这只会影响根用户凭证。账户中的 IAM 用户是具有自己的凭证的不同身份,并且每个身份具有自己的 MFA 配置。
您最多可以向 Amazon Web Services 账户根用户 和 IAM 用户注册 8 台当前支持的 MFA 类型任意组合的 MFA 设备。有关支持的 MFA 类型的更多信息,请参阅 IAM 用户可用的 MFA 类型。对于多台 MFA 设备,只需一台 MFA 设备即可以该用户身份登录 Amazon Web Services Management Console 或通过 Amazon CLI 创建会话。
注意
我们建议您要求您的人类用户在访问 Amazon 时使用临时凭证。您是否考虑过使用 Amazon IAM Identity Center? 您可以使用 IAM Identity Center 集中管理对多个 Amazon Web Services 账户 的访问权限,并为用户提供受 MFA 保护的单点登录访问权限,可从一个位置访问其分配的所有账户。借助 IAM Identity Center,您可以在 IAM Identity Center 中创建和管理用户身份,或者轻松连接到现有的 SAML 2.0 兼容身份提供者。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的什么是 IAM Identity Center?。
IAM 用户可用的 MFA 类型
MFA 增强了安全性,因为它要求用户在访问 Amazon 网站或服务时,除了其常规登录凭证之外,还要通过 Amazon 支持的 MFA 机制完成唯一身份验证。Amazon 支持下列 MFA 类型:密钥和安全密钥、虚拟身份验证器应用程序和硬件 TOTP 令牌。
密钥和安全密钥
Amazon Identity and Access Management 对 MFA 支持密钥和安全密钥。基于 FIDO 标准,密钥使用公有密钥加密技术来提供比密码更安全的强大防网络钓鱼身份验证。Amazon 支持两种类型的密钥:设备绑定密钥(安全密钥)和同步密钥。
安全密钥:这些是物理设备,例如 YubiKey,用作身份验证的第二个因素。
同步密钥:它们使用来自 Google、Apple、Microsoft 账户等提供商的凭证管理器以及第三方服务(例如 1Password、Dashlane 和 Bitwarden)作为第二个因素。
您可以使用内置生物识别身份验证器(例如,Apple MacBook 上的 Touch ID 和 PC 上的 Windows Hello 面部识别)来解锁凭证管理器并登录 Amazon。密钥是通过您选择的提供商使用您的指纹、面部或设备 PIN 创建的。您可以跨设备同步密钥以方便登录 Amazon,从而增强可用性和可恢复性。
FIDO 联盟维护一份与 FIDO 规范兼容的所有经 FIDO 认证产品
虚拟身份验证器应用程序
虚拟身份验证器应用程序在电话或其他设备上运行,并模拟物理设备。虚拟身份验证器应用程序采用基于时间的一次性密码
我们建议您在等待硬件购买批准或等待硬件到达时使用虚拟 MFA 设备。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表,请参阅多重身份验证(MFA)
硬件 TOTP 令牌
硬件设备以基于时间的一次性密码(TOTP)算法
如果想使用物理 MFA 设备,我们建议使用安全密钥来代替硬件 TOTP 设备。安全密钥具有无需电池、可抵御网络钓鱼的优点,并且支持在单台设备上使用多个根用户和 IAM 用户,从而增强安全性。
注意
基于 SMS 短信的 MFA – Amazon 已终止对短信多重身份验证(MFA)的支持。我们建议拥有使用基于短信的 MFA 的 IAM 用户的客户切换到以下替代方法之一:密码或安全密钥、虚拟(基于软件)MFA 设备或硬件 MFA 设备。您可以确定账户中拥有已分配短信 MFA 设备的用户。为此,请转到 IAM 控制台,从导航窗格中选择用户,然后在表的 MFA 列中查找具有 SMS 的用户。