启用 FIDO 安全密钥(控制台) - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

启用 FIDO 安全密钥(控制台)

FIDO 安全密钥是一种 MFA 设备,可用于保护您的 Amazon 资源。您将 FIDO 安全密钥插入到您计算机上的 USB 端口,并使用随后显示的说明启用该密钥。启用后,在出现提示时点击它即可安全完成登录过程。如果您已将 FIDO 安全密钥用于其他服务,它将有一个 Amazon 支持的配置(例如,来自 Yubico 的 Yubikey 5 Series),您也可以将其用于 Amazon。否则,如果要在 Amazon 中使用面向 MFA 的 Webauthn,您需要购买 FIDO2 安全密钥。有关规格和购买信息,请参阅多重身份验证

FIDO2 是开放身份验证标准,作为 FIDO U2F 的扩展,基于公有密钥加密提供同样高级别的安全性。FIDO2 由 W3C Web 身份验证规范(WebAuthn API)和客户端到身份验证协议(CTAP,一种应用程序层协议)组成。CTAP 支持客户端或平台(如浏览器或操作系统)与外部身份验证器之间进行通信。您可以继续使用符合 FIDO 标准的设备,例如 FIDO U2F 安全密钥。当您在 Amazon 中启用符合 FIDO 标准的身份验证器时,FIDO 安全密钥会创建仅适用于 Amazon 的新密钥对。首先,输入您的凭证。出现提示时,点击 FIDO 安全密钥,这会响应 Amazon 发出的身份验证质询。要了解有关 FIDO2 标准的更多信息,请参阅 FIDO2 项目

您可以为每个根用户或 IAM 用户启用一台 MFA 设备(任何类型)。

所需权限

要为您自己的 IAM 用户管理 FIDO 安全密钥,同时保护与 MFA 相关的敏感操作,您必须具有以下策略中的权限:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

为您自己的 IAM 用户启用 FIDO 安全密钥(控制台)

您只能从 Amazon Web Services Management Console 为您自己的 IAM 用户启用 FIDO 安全密钥,而不能从 Amazon CLI 或 Amazon API 启用。

注意

在启用 FIDO 安全密钥之前,您必须拥有对设备的物理访问权限。

注意

您不应选择 Google Chrome 弹出窗口中的任何要求 Verify your identity with amazon.com(通过 amazon.com 验证您的身份)的可用选项。您只需要点击安全密钥即可。

为您自己的 IAM 用户启用 FIDO 安全密钥(控制台)

  1. 使用 Amazon 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台

    注意

    为方便起见,Amazon登录页面使用浏览器 Cookie 记住您的 IAM 用户名和账户信息。如果您之前以其他用户身份登录,请选择页面底部的 Sign-in to a different account(登录到其他账户)以返回主登录页面。在此处,您可以输入要重新导向到您账户 IAM 用户登录页面的 Amazon 账户 ID 或账户别名。

    要获取 Amazon 账户 ID,请联系管理员。

  2. 在右上角的导航栏中,选择您的用户名,然后选择 My Security Credentials (我的安全凭证)

    
            Amazon 管理控制台的“My Security Credentials(我的安全凭证)”链接
  3. Amazon IAM 凭证选项卡的 Multi-Factor Authentication(多重验证)部分中,选择 Manage MFA device(管理 MFA 设备)。

  4. Manage MFA device(管理 MFA 设备)向导中,选择 FIDO security key(FIDO 安全密钥),然后选择 Continue(继续)。

  5. 将 FIDO 安全密钥插入计算机的 USB 端口。

    
            FIDO 安全密钥
  6. 点击 FIDO2 安全密钥,然后在安装完成时选择 Close(关闭)。

FIDO2 安全密钥现已就绪,可用于 Amazon。有关在 Amazon Web Services Management Console上使用 MFA 的信息,请参阅 使用 MFA 设备访问您的 IAM 登录页面

为其他 IAM 用户启用 FIDO 安全密钥(控制台)

您只能从 Amazon Web Services Management Console 为其他 IAM 用户启用 FIDO 安全密钥,而不能从 Amazon CLI 或 Amazon API 启用。

为其他 IAM 用户启用 FIDO 安全密钥(控制台)

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 选择要为其启用 MFA 的用户的名称,然后选择 Security credentials (安全凭证) 选项卡。

  4. Assigned MFA device (已分配 MFA 设备) 旁边,选择 Manage (管理)

  5. Manage MFA device(管理 MFA 设备)向导中,选择 FIDO security key(FIDO 安全密钥),然后选择 Continue(继续)。

  6. 将 FIDO 安全密钥插入计算机的 USB 端口。

    
            FIDO 安全密钥
  7. 点击 FIDO 安全密钥,然后在安装完成时选择 Close(关闭)。

FIDO 安全密钥现已就绪,可用于 Amazon。有关在 Amazon Web Services Management Console上使用 MFA 的信息,请参阅 使用 MFA 设备访问您的 IAM 登录页面

为 Amazon 账户根用户启用 FIDO 安全密钥(控制台)

您只能从 Amazon Web Services Management Console 为根用户配置和启用虚拟 MFA 设备,而不能从 Amazon CLI 或 Amazon API 配置和启用。

如果 FIDO 安全密钥丢失、被盗或无法正常工作,您仍可使用替代的身份验证因素登录。要了解如何使用替代的身份验证因素登录,请参阅若 MFA 设备遗失或停止工作,该怎么办?。要禁用此功能,请联系Amazon Web Services Support

为根用户启用 FIDO 密钥(控制台)

  1. 选择 Root user(根用户)并输入您的 Amazon Web Services 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台。在下一页上,输入您的密码。

    注意

    如果显示了三个文本框,则您之前已使用 IAM 用户 凭证登录控制台。您的浏览器可能会记住此首选项,并在您每次尝试登录时打开此账户特定的登录页面。您无法使用 IAM 用户登录页面以账户拥有者身份进行登录。如果您看到 IAM 用户登录页面,请选择该页面底部附近的 Sign in using root user email(使用根用户电子邮件登录)。这将返回主登录页面。在该页面中,您可以使用 Amazon Web Services 账户 电子邮件地址和密码以根用户登录。

  2. 在导航栏的右侧选择您的账户名称,然后选择 My Security Credentials (我的安全凭证)。如有必要,选择 Continue to Security Credentials

    
            导航菜单中的“My Security Credentials (我的安全凭证)”
  3. 展开 Multi-factor authentication (MFA) (多重验证) 部分。

  4. 根据在上一步选择的选项,选择 Manage MFAActivate MFA

  5. 在向导中,选择 FIDO security key(FIDO 安全密钥),然后选择 Continue(继续)。

  6. 将 FIDO 安全密钥插入计算机的 USB 端口。

    
            FIDO 安全密钥
  7. 点击 FIDO 安全密钥,然后在安装完成时选择 Close(关闭)。

FIDO 安全密钥现已就绪,可用于 Amazon。下次使用根用户凭证登录时,您必须点击您的 FIDO 安全密钥以完成登录过程。

替换 FIDO 安全密钥

您一次只能向一个用户分配一台 MFA 设备(虚拟、FIDO 安全密钥或硬件)。如果用户丢失符合 FIDO 的身份验证器或者出于某种原因需要进行替换,必须先停用符合 FIDO 的旧身份验证器。然后,您可以为用户添加新 MFA 设备。

如果您无权访问新的 FIDO 安全密钥,则可以启用新的虚拟 MFA 设备或硬件 MFA 设备。有关说明,请参阅以下章节之一: