在 Amazon 中使用多重身份验证 (MFA) - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 Amazon 中使用多重身份验证 (MFA)

为增强安全性,我们建议您配置 Multi-Factor Authentication (MFA) 以帮助保护 Amazon 资源。您可以为 Amazon Web Services 账户根用户 和 IAM 用户启用 MFA。当您为根用户启用 MFA 时,这只会影响根用户凭证。账户中的 IAM 用户是具有自己的凭证的不同身份,并且每个身份具有自己的 MFA 配置。您最多可以向 Amazon Web Services 账户根用户 和 IAM 用户注册 8 台当前支持的 MFA 类型任意组合的 MFA 设备。有关支持的 MFA 类型的更多信息,请参阅 什么是 MFA?。对于多台 MFA 设备,只需一台 MFA 设备即可以该用户身份登录 Amazon Web Services Management Console 或通过 Amazon CLI 创建会话。

注意

我们建议您要求您的人类用户在访问 Amazon 时使用临时凭证。您是否考虑过使用 Amazon IAM Identity Center? 您可以使用 IAM Identity Center 集中管理对多个 Amazon Web Services 账户 的访问权限,并为用户提供受 MFA 保护的单点登录访问权限,可从一个位置访问其分配的所有账户。借助 IAM Identity Center,您可以在 IAM Identity Center 中创建和管理用户身份,或者轻松连接到现有的 SAML 2.0 兼容身份提供者。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的什么是 IAM Identity Center?

什么是 MFA?

MFA 增强了安全性,因为它要求用户在访问 Amazon 网站或服务时,除了其常规登录凭证之外,还要通过 Amazon 支持的 MFA 机制完成唯一身份验证。Amazon 支持下列 MFA 类型。

FIDO 安全

FIDO 认证的硬件安全密钥由第三方提供商提供。

FIDO 联盟维护一份与 FIDO 规范兼容的所有经 FIDO 认证产品的列表。FIDO 身份验证标准基于公钥加密,可实现强大的防网络钓鱼身份验证,比使用密码更加安全。FIDO 安全密钥支持使用多个根账户和使用单个安全密钥的 IAM 用户。有关启用 FIDO 安全密钥的更多信息,请参阅 FIDO 安全密钥的更多信息,请参阅 启用 FIDO 安全密钥(控制台)

虚拟 MFA 设备

在电话或其他设备上运行并模拟物理设备的虚拟身份验证器应用程序。

虚拟身份验证器应用程序采用基于时间的一次性密码(TOTP)算法,并支持单个设备上的多个令牌。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每个虚拟 MFA 设备必须是唯一的。用户无法从另一个用户的虚拟 MFA 设备代码键入代码来进行身份验证。由于虚拟 MFA 可能在不安全的移动设备上运行,因此,它们可能无法提供与 FIDO 安全密钥相同的安全级别。

我们建议您在等待硬件购买批准或等待硬件到达时使用虚拟 MFA 设备。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表,请参阅 Multi-Factor Authentication。有关使用 Amazon 设置虚拟 MFA 设备的说明,请参阅启用虚拟 Multi-Factor Authentication (MFA) 设备(控制台)

硬件 TOTP 令牌

一种以基于时间的一次性密码(TOTP)算法为基础生成六位数字代码的硬件设备。

在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每台 MFA 设备必须是唯一的。用户无法从另一个用户的设备键入代码来进行身份验证。有关受支持硬件 MFA 设备的信息,请参阅多重身份验证。有关使用 Amazon 设置硬件 TOTP 令牌的说明,请参阅 正在启用硬件 TOTP 令牌(控制台)

我们建议您使用 FIDO 安全密钥来代替硬件 TOTP 设备。FIDO 安全密钥具有无需电池、可抵御网络钓鱼的优点,并且支持在单台设备上使用多个 IAM 用户或根用户,从而增强安全性。

注意

基于 SMS 短信的 MFA – Amazon 已终止对短信多重身份验证(MFA)的支持。我们建议拥有使用基于短信的 MFA 的 IAM 用户的客户切换到以下替代方法之一:FIDO 安全密钥虚拟(基于软件)MFA 设备硬件 MFA 设备。您可以确定账户中拥有已分配短信 MFA 设备的用户。为此,请转到 IAM 控制台,从导航窗格中选择用户,然后在表的 MFA 列中查找具有 SMS 的用户。