AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

启用 MFA 设备

以下概述流程介绍了如何设置和使用 MFA,并提供了相关信息的链接。

  1. 获取 MFA 令牌设备或与 SMS (短信服务) 兼容的移动设备,如下列设备之一。您只能为每个 AWS 账户根用户或 IAM 用户启用一个 MFA 设备,且该设备只能由指定用户使用。

    • 基于硬件的令牌设备,例如在多因素身份验证页面中讨论的支持 AWS 的硬件令牌设备之一。

    • 虚拟令牌设备,是符合 RFC 6238,一种基于标准的 TOTP (基于时间的一次性密码) 算法的软件应用程序。您可以将该应用程序安装在移动设备上,例如平板电脑或手机。有关可以用作虚拟 MFA 设备的几个受支持应用的列表,请参阅 Multi-Factor Authentication 页面的虚拟 MFA 应用程序部分。

    • 可接收标准 SMS 文本消息的手机。

      注意

      如果您选择使用基于 SMS 的 MFA,您的移动设备运营商可能会收取文本消息费用。

      基于 SMS 的 MFA 仅适用于 IAM 用户,不适用于根用户。

  2. 启用 MFA 设备。您可从 AWS 管理控制台、AWS CLI、Windows PowerShell 工具 或 IAM API 为 IAM 用户启用 MFA 设备。您只能使用 AWS 管理控制台为AWS 账户根用户启用 MFA 设备。

    有关启用每种 MFA 设备的信息,请参阅以下主题:

  3. 在您登录或访问 AWS 资源时使用 MFA 设备。请注意以下几点:

    • 要访问 AWS 网站,您需要设备中的 MFA 代码以及常用的用户名和密码。如果 AWS 确定您以其身份登录的 IAM 用户是通过 SMS 启用了 MFA 的,则会自动将 MFA 代码发送至配置的电话号码。

    • 要访问受 MFA 保护的 API 操作,您需要具有 MFA 代码、MFA 设备的标识符 (物理设备的设备序列号或 AWS 中定义的虚拟或 SMS 设备的 ARN) 以及常用的访问密钥 ID 和私有访问密钥。

      注意

      您不能将 SMS MFA 设备的 MFA 信息传递给 AWS STS API 来请求临时凭证。

    有关更多信息,请参阅 使用 MFA 设备访问您的 IAM 登录页面