AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

在 AWS 中使用 Multi-Factor Authentication (MFA)

为增强安全性,我们建议您配置 Multi-Factor Authentication (MFA) 以帮助保护 AWS 资源。您可以为 IAM 用户或AWS 账户根用户启用 MFA。在为根用户启用 MFA 时,它仅影响根用户凭证。账户中的 IAM 用户是具有自己的凭证的不同身份,并且每个身份具有自己的 MFA 配置。

什么是 MFA?

MFA 增强了安全性,因为它要求用户在访问 AWS 网站或服务时,除了其常规登录凭证之外,还要提供来自 AWS支持的 MFA 机制的唯一身份身份验证。

  • 虚拟 MFA 设备。一种在手机或其他设备上运行并模拟物理设备的软件应用程序。该设备将基于进行了时间同步的一次性密码算法生成一个六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每个虚拟 MFA 设备必须是唯一的。用户无法从另一个用户的虚拟 MFA 设备代码键入代码来进行身份验证。由于虚拟 MFA 可能在不安全的移动设备上运行,因此,它们可能无法提供与 U2F 设备或硬件 MFA 设备相同的安全级别。我们建议您在等待硬件购买批准或等待硬件到达时使用虚拟 MFA 设备。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表,请参阅 Multi-Factor Authentication。有关使用 AWS 设置虚拟 MFA 设备的说明,请参阅启用虚拟 Multi-Factor Authentication (MFA) 设备(控制台)

  • U2F 安全密钥。一台设备,您将其插入计算机上的 USB 端口。U2F 是由 FIDO 联盟制定的开放身份验证标准。启用 U2F 安全密钥时,您将通过输入您的凭证,然后点击设备进行登录,而不是手动输入代码。有关受支持 AWS U2F 安全密钥的信息,请参阅 Multi-Factor Authentication。有关使用 AWS 设置虚拟 U2F 安全密钥的说明,请参阅启用 U2F 安全密钥(控制台)

  • 硬件 MFA 设备。一台硬件设备,基于进行了时间同步的一次性密码算法生成一个六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每台 MFA 设备必须是唯一的。用户无法从另一个用户的设备键入代码来进行身份验证。有关受支持硬件 MFA 设备的信息,请参阅 Multi-Factor Authentication。有关使用 AWS 设置硬件 MFA 设备的说明,请参阅启用硬件 MFA 设备(控制台)

  • 基于短信的 MFA。一种类型的 MFA,其中 IAM 用户设置包含短信兼容的移动设备的电话号码。在用户登录时,AWS 通过 SMS 文本消息将六位数字代码发送到用户的移动设备。在登录期间,用户需要在第二个网页上键入该代码。请注意,基于 SMS 的 MFA 仅对 IAM 用户可用。您不能将此类型的 MFA 用于 AWS 账户根用户。有关启用基于 SMS 文本消息的 MFA 的更多信息,请参阅预览 – 启用短信 MFA 设备

    注意

    AWS 将很快终止对 SMS Multi-Factor Authentication (MFA) 的支持。我们不允许新客户预览此功能。我们建议现有客户切换到 MFA 的下列替代方法之一:虚拟(基于软件)MFA 设备U2F 安全密钥硬件 MFA 设备。您可以查看账户中的已分配 SMS MFA 设备的用户。为此,请转到 IAM 控制台,从导航窗格中选择 Users (用户),然后在表的 MFA 列中查找具有 SMS 的用户。

有关 AWS MFA 的常见问题解答,请访问 AWS Multi-Factor Authentication 常见问题

本页内容: