为根用户启用硬件 TOTP 令牌(控制台) - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为根用户启用硬件 TOTP 令牌(控制台)

您只能从 Amazon Web Services Management Console 为根用户配置和启用实体 MFA 设备,而不能从 Amazon CLI 或 Amazon API 配置和启用。

注意

您可能会看到不同的文本,例如使用 MFA 登录排除您的身份验证设备故障。不过,它们提供了相同的功能。在任一情况下,如果您无法使用替代身份验证因素验证您的账户电子邮件地址和电话号码,请与 Amazon Web Services Support 联系以删除您的 MFA 设置。

为根用户启用硬件 TOTP 令牌(控制台)
  1. 打开 Amazon 管理控制台,使用根用户凭证登录。

    有关说明,请参阅《Amazon 登录 User Guide》中的 Sign in to the Amazon Web Services Management Console as the root user

  2. 在导航栏的右侧,选择您的账户名称,然后选择 Security Credentials(安全凭证)。

    导航菜单中的安全凭证
  3. 展开 Multi-factor authentication (MFA) (多重验证) 部分。

  4. 选择 Assign MFA device(分配 MFA 设备)。

  5. 在向导中,键入 Device name(设备名称),选择 Hardware TOTP token(硬件 TOTP 令牌),然后选择 Next(下一步)。

  6. Serial Number (序列号) 框中,键入在 MFA 设备背面找到的序列号。

  7. MFA code 1 (MFA 代码 1) 框中,输入 MFA 设备显示的六位数编码。您需要按设备正面的按钮来显示编码。

    IAM 控制面板,MFA 设备
  8. 在设备刷新期间等候 30 秒,然后在 MFA code 2 (MFA 代码 2) 框中键入第二个六位数编码。您需要再次按设备正面的按钮来显示第二个编码。

  9. 选择 Add MFA(添加 MFA)。MFA 设备现已与 Amazon Web Services 账户 相关联。

    重要

    在生成身份验证代码后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备

    下次使用根用户凭证登录时,您必须键入 MFA 设备生成的代码。