根用户可用的 MFA 类型 - Amazon Identity and Access Management
密钥和安全密钥虚拟身份验证器应用程序硬件 TOTP 令牌
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

根用户可用的 MFA 类型

Amazon 为您的根用户支持以下 MFA 类型:密钥和安全密钥、虚拟身份验证器应用程序和硬件 TOTP 令牌。

密钥和安全密钥

Amazon Identity and Access Management 对 MFA 支持密钥和安全密钥。基于 FIDO 标准,密钥使用公有密钥加密技术来提供比密码更安全的强大防网络钓鱼身份验证。Amazon 支持两种类型的密钥:设备绑定密钥(安全密钥)和同步密钥。

  • 安全密钥:这些是物理设备,例如 YubiKey,用作身份验证的第二个因素。

  • 同步密钥:它们使用来自 Google、Apple、Microsoft 账户等提供商的凭证管理器以及第三方服务(例如 1Password、Dashlane 和 Bitwarden)作为第二个因素。

您可以使用内置生物识别身份验证器(例如,Apple MacBook 上的 Touch ID 和 PC 上的 Windows Hello 面部识别)来解锁凭证管理器并登录 Amazon。密钥是通过您选择的提供商使用您的指纹、面部或设备 PIN 创建的。您可以跨设备同步密钥以方便登录 Amazon,从而增强可用性和可恢复性。

FIDO 联盟维护一份与 FIDO 规范兼容的所有经 FIDO 认证产品的列表。单个密钥或者安全密钥支持多个根用户账户和 IAM 用户。有关启用密钥和安全密钥的更多信息,请参阅 为 Amazon Web Services 账户根用户 启用密钥或安全密钥(控制台)

虚拟身份验证器应用程序

虚拟身份验证器应用程序在电话或其他设备上运行,并模拟物理设备。虚拟身份验证器应用程序采用基于时间的一次性密码(TOTP)算法,并支持单个设备上的多个令牌。在登录期间,用户必须在出现提示时从该设备键入有效代码。分配给用户的每个令牌必须是唯一的。用户无法从另一个用户的令牌键入代码来进行身份验证。

我们建议您在等待硬件购买批准或等待硬件到达时使用虚拟 MFA 设备。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表,请参阅多重身份验证(MFA)。有关使用 Amazon 设置虚拟 MFA 设备的说明,请参阅为您的 Amazon Web Services 账户根用户 启用虚拟 MFA 设备(控制台)

硬件 TOTP 令牌

硬件设备以基于时间的一次性密码(TOTP)算法为基础生成六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每台 MFA 设备必须是唯一的。用户无法从另一个用户的设备键入代码来进行身份验证。有关受支持硬件 MFA 设备的信息,请参阅多重身份验证(MFA)。有关使用 Amazon 设置硬件 TOTP 令牌的说明,请参阅 为 Amazon Web Services 账户根用户 启用硬件 TOTP 令牌(控制台)

如果想使用物理 MFA 设备,我们建议使用 FIDO 安全密钥来代替硬件 TOTP 设备。FIDO 安全密钥具有无需电池、可抵御网络钓鱼的优点,并且支持在单台设备上使用多个根用户和 IAM 用户,从而增强安全性。