AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

启用 MFA 设备

以下概述流程介绍了如何设置和使用 MFA,并提供了相关信息的链接。

  1. 获取 MFA 令牌设备或与 SMS 兼容的移动设备,如下列设备之一。您只能为每个 AWS 账户根用户 或 IAM 用户启用一个 MFA 设备,且该设备只能由指定用户使用。

    • 基于硬件的令牌设备,例如在多因素身份验证页面中讨论的支持 AWS 的硬件令牌设备之一。

    • 虚拟令牌设备,是符合 RFC 6238,一种基于标准的 TOTP (基于时间的一次性密码) 算法的软件应用程序。您可以将该应用程序安装在移动设备上,例如平板电脑或手机。有关可以用作虚拟 MFA 设备的几个受支持应用的列表,请参阅 Multi-Factor Authentication 页面的虚拟 MFA 应用程序部分。

    • 可接收标准 SMS 文本消息的手机。

      注意

      如果您选择使用基于 SMS 的 MFA,您的移动设备运营商可能会收取文本消息费用。

      基于 SMS 的 MFA 仅适用于 IAM 用户,不适用于 根用户。

  2. 启用 MFA 设备。启用设备的过程包含两个步骤。首先,您可以在 IAM 中创建 MFA 设备实体。然后,您应将此 MFA 设备实体与该 IAM 用户关联。您可以在 AWS 管理控制台、AWS CLI、Windows PowerShell 工具 或 IAM API 中执行这些任务。

    有关启用每种 MFA 设备的信息,请参阅以下主题:

  3. 在您登录或访问 AWS 资源时使用 MFA 设备。请注意以下几点:

    • 要访问 AWS 网站,您需要设备中的 MFA 代码以及常用的用户名和密码。如果 AWS 确定您以其身份登录的 IAM 用户是通过 SMS 启用了 MFA 的,则会自动将 MFA 代码发送至配置的电话号码。

    • 要访问受 MFA 保护的 API 操作,您需要具有 MFA 代码、MFA 设备的标识符 (物理设备的设备序列号或 AWS 中定义的虚拟或 SMS 设备的 ARN) 以及常用的访问密钥 ID 和私有访问密钥。

      注意

      在 SMS MFA 的公开预览期间,您可以仅在 AWS 管理控制台中对 SMS 设备进行身份验证。您不能将 SMS MFA 设备的 MFA 信息传递给 AWS STS API 来请求临时凭证。

    有关更多信息,请参阅 使用 MFA 设备访问您的 IAM 登录页面