AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

在 AWS 中使用多重验证 (MFA)

为增强安全性,我们建议您配置多重验证 (MFA) 以帮助保护 AWS 资源。MFA 增强了安全性,因为它要求用户在访问 AWS 网站或服务时,键入来自经批准的身份验证设备或 SMS 文本消息的唯一身份验证代码。

  • 基于安全令牌。这种类型的 MFA 要求您向 IAM 用户或 AWS 账户根用户 分配 MFA 设备 (硬件或虚拟)。虚拟设备是在手机或其他移动设备上运行的可模拟物理设备的软件应用程序。无论哪种方式,该设备都将基于进行了时间同步的一次性密码算法生成一个六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每个 MFA 设备都必须是唯一的;某个用户无法从另一个用户的设备键入代码以进行身份验证。有关启用基于安全令牌的 MFA 的更多信息,请参阅启用硬件 MFA 设备 (控制台)启用虚拟多重验证 (MFA) 设备

  • 基于 SMS 文本消息。这种类型的 MFA 要求您使用 IAM 用户的与 SMS 兼容的移动设备的电话号码来配置该用户。在用户登录时,AWS 通过 SMS 文本消息将六位数字代码发送到用户的移动设备。在登录期间,用户需要在第二个网页上键入该代码。请注意,基于 SMS 的 MFA 仅对 IAM 用户可用。您不能将此类型的 MFA 用于 AWS 账户根用户。有关启用基于 SMS 文本消息的 MFA 的更多信息,请参阅预览 - 启用 SMS 文本消息 MFA 设备

    注意

    AWS 不再接受新的参与者加入 SMS MFA 预览。我们建议您通过基于硬件的虚拟 (基于软件的) MFA 令牌设备在您的 AWS 账户上使用 MFA。如果您的账户已参与 SMS MFA 预览计划,您可以继续使用该功能。

无论用户如何接收到六位数字 MFA 代码,用户都需要在 AWS 管理控制台 登录流程的第二页键入这一代码。在某些情况下,用户可能使用 AWS STS API 或 CLI 代替控制台。在这种情况下,您可以将硬件或虚拟 MFA 设备代码作为参数传递给 STS API 调用以获取临时凭证。

注意

目前只能通过 AWS 管理控制台 使用基于 SMS 的 MFA。您无法通过 API 或 AWS CLI 使用基于 SMS 的 MFA。

本部分将说明如何为您的用户配置 MFA,并将用户设置为使用令牌设备或 SMS 文本消息。还将介绍如何同步和停用现有令牌设备,以及当设备丢失或停止运行时可采取的措施。

注意

当您为 AWS 账户根用户 启用 MFA 时,它只会影响 根用户 凭证。账户中的 IAM 用户是具有自己的凭证的截然不同的身份,且每个身份都有自己的 MFA 配置。

有关 AWS MFA 的常见问题解答,请访问 AWS Multi-Factor Authentication 常见问题