在 Amazon 中使用多重身份验证 (MFA) - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在 Amazon 中使用多重身份验证 (MFA)

为增强安全性,我们建议您配置 Multi-Factor Authentication (MFA) 以帮助保护 Amazon 资源。您可以为 IAM 用户或 Amazon Web Services 账户 根用户启用 MFA。当您为根用户启用 MFA 时,这只会影响根用户凭证。账户中的 IAM 用户是具有自己的凭证的不同身份,并且每个身份具有自己的 MFA 配置。

注意

您是否考虑过使用 Amazon IAM Identity Center (successor to Amazon Single Sign-On)(IAM Identity Center)? 您可以使用 IAM Identity Center 集中管理对多个 Amazon Web Services 账户 的访问权限,并为用户提供受 MFA 保护的单点登录访问权限,可从一个位置访问其分配的所有账户。借助 IAM Identity Center,您可以在 IAM Identity Center 中创建和管理用户身份,或者轻松连接到现有的 SAML 2.0 兼容身份提供者。有关更多信息,请参阅《Amazon IAM Identity Center (successor to Amazon Single Sign-On) 用户指南》中的什么是 IAM Identity Center?

什么是 MFA?

MFA 增强了安全性,因为它要求用户在访问 Amazon 网站或服务时,除了其常规登录凭证之外,还要提供来自 Amazon支持的 MFA 机制的唯一身份身份验证。

  • 虚拟 MFA 设备。一种在手机或其他设备上运行并模拟物理设备的软件应用程序。该设备将基于进行了时间同步的一次性密码算法生成一个六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每个虚拟 MFA 设备必须是唯一的。用户无法从另一个用户的虚拟 MFA 设备代码键入代码来进行身份验证。由于虚拟 MFA 可能在不安全的移动设备上运行,因此,它们可能无法提供与 FIDO2 设备或硬件 MFA 设备相同的安全级别。我们建议您在等待硬件购买批准或等待硬件到达时使用虚拟 MFA 设备。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表,请参阅 Multi-Factor Authentication。有关使用 Amazon 设置虚拟 MFA 设备的说明,请参阅启用虚拟 Multi-Factor Authentication (MFA) 设备(控制台)

  • FIDO 安全密钥。一台设备,您将其插入计算机上的 USB 端口。FIDO2 是由 FIDO 联盟制定的开放身份验证标准。启用 FIDO2 安全密钥时,您将通过输入凭证然后点击设备进行登录,而不是手动输入代码。有关受支持 Amazon FIDO2 安全密钥的信息,请参阅多重身份验证。有关使用 Amazon 设置 FIDO2 安全密钥的说明,请参阅 启用 FIDO 安全密钥(控制台)

  • 硬件 MFA 设备。一台硬件设备,基于进行了时间同步的一次性密码算法生成一个六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每台 MFA 设备必须是唯一的。用户无法从另一个用户的设备键入代码来进行身份验证。有关受支持硬件 MFA 设备的信息,请参阅多重身份验证。有关使用 Amazon 设置硬件 MFA 设备的说明,请参阅启用硬件 MFA 设备(控制台)

    注意

    基于短信的 MFA。Amazon 已终止对短信多重身份验证(MFA)的支持。我们建议拥有使用基于短信的 MFA 的 IAM 用户的客户切换到以下替代方法之一:虚拟(基于软件)MFA 设备FIDO 安全密钥硬件 MFA 设备。您可以确定账户中拥有已分配短信 MFA 设备的用户。为此,请转到 IAM 控制台,从导航窗格中选择用户,然后在表的 MFA 列中查找具有 SMS 的用户。