AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

在 AWS 中使用多重身份验证 (MFA)

为增强安全性,我们建议您配置多重验证 (MFA) 以帮助保护 AWS 资源。

什么是 MFA?

MFA 增强了安全性,因为它要求用户在访问 AWS 网站或服务时,除了其常规登录凭证之外,还要提供来自 AWS支持的 MFA 机制的唯一身份身份验证。

  • 虚拟 MFA 设备。一种软件应用程序,在手机或其他移动设备上运行并模拟物理设备。该设备将基于进行了时间同步的一次性密码算法生成一个六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每个虚拟 MFA 设备必须是唯一的。用户无法从另一个用户的虚拟 MFA 设备代码键入代码来进行身份验证。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表,请参阅多重身份验证。有关使用 AWS 设置虚拟 MFA 设备的说明,请参阅启用虚拟多重身份验证 (MFA) 设备(控制台)

  • U2F 安全密钥。一台设备,您将其插入计算机上的 USB 端口。U2F 是由 FIDO 联盟制定的开放身份验证标准。启用 U2F 安全密钥时,您将通过输入您的凭证,然后点击设备进行登录,而不是手动输入代码。有关受支持 AWS U2F 安全密钥的信息,请参阅多重身份验证。有关使用 AWS 设置虚拟 U2F 安全密钥的说明,请参阅启用 U2F 安全密钥(控制台)

  • 硬件 MFA 设备。一台硬件设备,基于进行了时间同步的一次性密码算法生成一个六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每台 MFA 设备必须是唯一的。用户无法从另一个用户的设备键入代码来进行身份验证。有关受支持硬件 MFA 设备的信息,请参阅多重身份验证。有关使用 AWS 设置硬件 MFA 设备的说明,请参阅启用硬件 MFA 设备(控制台)

  • 基于短信的 MFA。一种类型的 MFA,其中 IAM 用户设置包含短信兼容的移动设备的电话号码。在用户登录时,AWS 通过 SMS 文本消息将六位数字代码发送到用户的移动设备。在登录期间,用户需要在第二个网页上键入该代码。请注意,基于 SMS 的 MFA 仅对 IAM 用户可用。您不能将此类型的 MFA 用于 AWS 账户根用户。有关启用基于 SMS 文本消息的 MFA 的更多信息,请参阅预览 – 启用短信 MFA 设备

    注意

    AWS 将在 2019 年 2 月 1 日停止支持 SMS MFA。如果您的账户已加入 SMS MFA 预览计划,您可以继续使用该功能。我们建议您通过虚拟(基于软件的)MFA 设备U2F 安全密钥硬件 MFA 设备使用 MFA。

    提示

    您可以查看账户中的已分配 SMS MFA 设备的用户。为此,请转到 IAM 控制台,从导航窗格中选择用户,然后在表的 MFA 列中查找具有 SMS 的用户。

注意

为 AWS 账户根用户 启用 MFA 时,它仅影响 根用户 凭证。该账户中的 IAM 用户是具有自己的凭证的截然不同的身份,且每个身份都有自己的 MFA 配置。

有关 AWS MFA 的常见问题解答,请访问 AWS Multi-Factor Authentication 常见问题

本页内容: