启用 MFA 设备
用于配置 MFA 的步骤取决于您使用的 MFA 设备类型。
主题
启用 MFA 设备的一般步骤
以下概述流程介绍了如何设置和使用 MFA,并提供了相关信息的链接。
-
获取 MFA 设备,如下列设备之一。 您只能为每个 AWS 账户根用户 或 IAM 用户启用一台 MFA 设备。
-
虚拟 MFA 设备是符合 RFC 6238,一种基于标准的 TOTP(基于时间的一次性密码)算法的软件应用程序。您可以在手机或其他设备上安装该应用程序。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表,请参阅 Multi-Factor Authentication。
-
具有 AWS 支持的配置的 U2F 安全密钥,如 Multi-Factor Authentication (多重身份验证) 页面中讨论的 U2F 设备之一。
-
基于硬件的 MFA 设备,如 Multi-Factor Authentication (多重身份验证) 页面中讨论的 AWS 支持的硬件令牌设备之一。
-
可接收标准短信的手机。
备注
-
如果您选择使用基于 SMS 的 MFA,您的移动设备运营商可能会收取文本消息费用。
-
基于短信的 MFA 仅可用于 IAM 用户,不能用于 根用户。
-
-
-
启用 MFA 设备。
-
使用虚拟或硬件 MFA 设备的 IAM 用户:从 AWS 管理控制台、AWS CLI 或 IAM API 启用。
-
使用 U2F 安全密钥或可接收短信的手机的 IAM 用户:仅从 AWS 管理控制台 启用。
-
使用任何类型的 MFA 设备(根用户不支持的短信 MFA 除外)的 AWS 账户根用户:仅从 AWS 管理控制台 启用。
有关启用每种类型的 MFA 设备的信息,请参阅以下页面:
-
U2F 安全密钥:启用 U2F 安全密钥(控制台)
-
硬件 MFA 设备:启用硬件 MFA 设备(控制台)
-
SMS MFA 设备:预览 – 启用短信 MFA 设备
-
-
在您登录或访问 AWS 资源时使用 MFA 设备。 请注意以下几点:
-
U2F 安全密钥:要访问 AWS 网站,请输入您的凭证,然后在出现提示时点击 U2F 安全密钥。
-
虚拟 MFA 设备、硬件 MFA 设备和短信 MFA 设备:要访问 AWS 网站,您需要设备中的 MFA 代码以及您的用户名和密码。如果 AWS 确定您以其身份登录的 IAM 用户是通过短信启用了 MFA,会自动将 MFA 代码发送至配置的电话号码。
要访问受 MFA 保护的 API 操作,您需要以下信息:
-
MFA 代码
-
MFA 设备的标识符(物理设备的设备序列号或 AWS 中定义的虚拟或短信设备的 ARN)
-
常规访问密钥 ID 和私有访问密钥
-
备注
-
您无法将 U2F 安全密钥或短信 MFA 设备的 MFA 信息传递给 AWS STS API 来请求临时凭证。
-
您无法使用 AWS CLI 命令或 AWS API 操作来启用 U2F 安全密钥。
-
有关更多信息,请参阅使用 MFA 设备访问您的 IAM 登录页面。