启用 MFA 设备的一般步骤

虚拟 MFA 设备是符合 RFC 6238，一种基于标准的 TOTP（基于时间的一次性密码）算法的软件应用程序。您可以在手机或其他设备上安装该应用程序。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表，请参阅 Multi-Factor Authentication。

具有 Amazon 支持的配置的密钥或安全密钥。FIDO 联盟维护一份与 FIDO 规范兼容的所有经 FIDO 认证产品的列表。

第三方提供商提供的基于硬件的 MFA 设备，例如令牌设备。这些令牌仅与 Amazon Web Services 账户 一起使用。有关更多信息，请参阅 正在启用硬件 TOTP 令牌（控制台）。您只能使用具有与 Amazon 安全共享的唯一令牌种子的令牌。令牌种子是在制作令牌时生成的私有密钥。从其他来源购买的令牌不能用于 IAM。为确保兼容性，您必须通过以下链接之一购买硬件 MFA 设备：OTP 令牌或 OTP 显卡。

虚拟或硬件 TOTP 令牌 – 您可以使用 Amazon CLI 命令或 Amazon API 操作为 IAM 用户启用虚拟 MFA 设备。您无法使用 Amazon CLI、Amazon API、Tools for Windows PowerShell 或任何其他命令行工具为 Amazon Web Services 账户根用户 启用 MFA 设备。不过，可以使用 Amazon Web Services Management Console 为根用户启用 MFA 设备。

密钥或安全密钥 – 拥有密钥或安全密钥的根用户和 IAM 用户只能从 Amazon Web Services Management Console 启用，而不能从 Amazon CLI 或 Amazon API 启用。

虚拟 MFA 设备：启用虚拟 Multi-Factor Authentication (MFA) 设备（控制台）

密钥和安全密钥：启用密钥或安全密钥（控制台）

硬件 TOTP 令牌：正在启用硬件 TOTP 令牌（控制台）

我们建议您在您的 Amazon Web Services 账户 中为 Amazon Web Services 账户根用户 和 IAM 用户启用多台 MFA 设备。这可以使您提高 Amazon Web Services 账户 中的安全门槛，简化对高权限用户（例如 Amazon Web Services 账户根用户）的访问管理。

您最多可以向 Amazon Web Services 账户根用户 和 IAM 用户注册 8 台当前支持的 MFA 类型任意组合的 MFA 设备。注册多台 MFA 设备后，只需一台 MFA 设备即可以该用户的身份登录 Amazon Web Services Management Console 或通过 Amazon CLI 创建会话。IAM 用户必须使用现有的 MFA 设备进行身份验证，然后才能启用或禁用其他 MFA 设备。

如果 MFA 设备丢失、被盗或无法访问，您可以使用剩余 MFA 设备中的一台访问 Amazon Web Services 账户，而无需执行 Amazon Web Services 账户 恢复程序。如果 MFA 设备遗失或被盗，应将解除该设备与所关联 IAM 主体的关联。

通过使用多个 MFA，在地理位置上分散或进行远程办公的员工可以使用基于硬件的 MFA 访问 Amazon，同时无需在员工之间协调单个硬件设备的实物交换。

通过为 IAM 主体使用额外的 MFA 设备，您使用一个或多个 MFA 来满足日常需要，同时在安全的物理位置（例如保管库或保险柜）保存物理 MFA 设备，以满足备份和冗余的需要。

密钥或安全密钥 – 要访问 Amazon 网站，请输入您的凭证，然后根据您拥有的密钥类型，点击 FIDO 安全密钥，输入设备 PIN 码，或者在出现提示时提供您的指纹或面部。

虚拟 MFA 设备和硬件 MFA 设备 – 要访问 Amazon 网站，您需要设备中的 MFA 代码以及您的用户名和密码。

要访问受 MFA 保护的 API 操作，您需要以下信息：