AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

启用硬件 MFA 设备(控制台)

硬件 MFA 设备将基于进行了时间同步的一次性密码算法生成一个六位数字代码。在登录过程中,用户必须在出现提示时从该设备键入有效代码。分配给用户的每个 MFA 设备都必须是唯一的;进行身份验证时,某个用户无法从另一个用户的设备键入代码。

硬件 MFA 设备和 U2F 安全密钥都是您购买的物理设备。不同之处在于:硬件 MFA 设备生成代码,您可以进行查看,然后在登录 AWS 期间出现提示时输入代码。使用 U2F 安全密钥时,您不会看到或键入身份验证代码。而是 U2F 安全密钥会生成一个响应,不显示给用户,随后服务会对响应进行验证。有关这两种设备类型的规格和购买信息,请参阅多重身份验证

您可以从 AWS 管理控制台、命令行或 IAM API 为 IAM 用户启用硬件 MFA 设备。要为 AWS 账户根用户 启用 MFA 设备,请参阅为 AWS 账户根用户启用硬件 MFA 设备(控制台)

您可以为每个 根用户 或 IAM 用户启用一台 MFA 设备(任何类型)。

注意

如果想从命令行启用设备,请使用 iam-userenablemfadevice aws iam enable-mfa-device。如要使用 IAM API 启用 MFA 设备,请使用 EnableMFADevice 操作。

所需权限

要为您自己的 IAM 用户管理硬件 MFA 设备,同时保护与 MFA 相关的敏感操作,您必须具有以下策略中的权限:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

为您自己的 IAM 用户启用硬件 MFA 设备(控制台)

您可以从 AWS 管理控制台 启用您自己的硬件 MFA 设备。

注意

在启用硬件 MFA 设备之前,您必须拥有对设备的物理访问权限。

为您自己的 IAM 用户启用硬件 MFA 设备(控制台)

  1. 使用 AWS 账户 ID 或账户别名、您的 IAM 用户名和密码登录 IAM 控制台

    注意

    为方便起见,AWS 登录页面将使用浏览器 Cookie 来记住您的 IAM 用户名和账户信息。如果您之前曾以其他用户身份登录,请选择页面底部附近的 Sign in to a different account 以返回到主登录页面。从此处,您可以键入您的 AWS 账户 ID 或账户别名,以重定向到您的账户的 IAM 用户登录页面。

    要获取 AWS 账户 ID,请联系管理员。

  2. 在右上角的导航栏中,选择您的用户名,然后选择 My Security Credentials (我的安全凭证)

    
                  AWS 管理控制台的“My Security Credentials (我的安全凭证)”链接
  3. AWS IAM credentials (AWS IAM 凭证) 选项卡的 Multi-factor authentication (多重验证) 部分,选择 Manage MFA device (管理 MFA 设备)

  4. Manage MFA device (管理 MFA 设备) 向导中,选择 Hardware MFA device (硬件 MFA 设备),然后选择 Continue (继续)

  5. 键入设备序列号。序列号通常位于设备的背面。

  6. MFA code 1 (MFA 代码 1) 框中,输入 MFA 设备显示的六位数编码。您需要按设备正面的按钮来显示编码。

    
                  IAM 控制面板,MFA 设备
  7. 在设备刷新期间等候 30 秒,然后在 MFA code 2 (MFA 代码 2) 框中键入第二个六位数编码。您需要再次按设备正面的按钮来显示第二个编码。

  8. 选择 Assign MFA (分配 MFA)

    重要

    在生成身份验证代码后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备

设备已准备就绪,可在 AWS 上使用。有关在 AWS 管理控制台上使用 MFA 的信息,请参阅 使用 MFA 设备访问您的 IAM 登录页面

为其他 IAM 用户启用硬件 MFA 设备(控制台)

您可以从 AWS 管理控制台 为其他 IAM 用户启用硬件 MFA 设备。

为其他 IAM 用户启用硬件 MFA 设备(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择要为其启用 MFA 的用户的名称,然后选择 Security credentials (安全凭证) 选项卡。

  4. Assigned MFA device (已分配 MFA 设备) 旁边,选择 Manage (管理)

  5. Manage MFA device (管理 MFA 设备) 向导中,选择 Hardware MFA device (硬件 MFA 设备),然后选择 Continue (继续)

  6. 键入设备序列号。序列号通常位于设备的背面。

  7. MFA code 1 (MFA 代码 1) 框中,输入 MFA 设备显示的六位数编码。您需要按设备正面的按钮来显示编码。

    
            IAM 控制面板,MFA 设备
  8. 在设备刷新期间等候 30 秒,然后在 MFA code 2 (MFA 代码 2) 框中键入第二个六位数编码。您需要再次按设备正面的按钮来显示第二个编码。

  9. 选择 Assign MFA (分配 MFA)

    重要

    在生成身份验证代码后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备

设备已准备就绪,可在 AWS 上使用。有关在 AWS 管理控制台上使用 MFA 的信息,请参阅 使用 MFA 设备访问您的 IAM 登录页面

为 AWS 账户根用户启用硬件 MFA 设备(控制台)

您只能从 AWS 管理控制台 为 根用户 配置和启用虚拟 MFA 设备,而不能从 AWS CLI 或 AWS API 配置和启用。

如果您的 MFA 设备丢失、被盗或无法正常运行,您仍然可以使用替代的身份验证因素登录。如果您不能使用 MFA 设备登录,则可以使用和您的账户一起注册的电子邮件和电话验证您的身份来进行登录。为您的根用户启用 MFA 之前,请检查您的账户设置和联系信息,确保您可以访问电子邮件地址和电话号码。要了解如何使用替代的身份验证因素登录,请参阅若 MFA 设备遗失或停止工作,该怎么办?。要禁用此功能,请联系AWS Support

注意

您可能会看到不同的文本,例如使用 MFA 登录排除您的身份验证设备故障。不过,它们提供了相同的功能。在任一情况下,如果您无法使用替代身份验证因素验证您的账户电子邮件地址和电话号码,请与 AWS Support 联系以停用您的 MFA 设置。

为根用户启用 MFA 设备(控制台)

  1. 使用您的 AWS 账户电子邮件地址和密码以 AWS 账户根用户 身份登录 AWS 管理控制台

    注意

    如果您之前已使用 IAM 用户 凭证登录控制台,则您的浏览器可能会记住此首选项,并打开您的账户特定的登录页。您不能在 IAM 用户登录页面使用 AWS 账户根用户 凭证进行登录。如果您看到 IAM 用户登录页面,请选择页面底部附近的 Sign-in using 根用户 credentials 以返回到主登录页面。在此处,您可以键入您的 AWS 账户电子邮件地址和密码。

  2. 在导航栏的右侧选择您的账户名称,然后选择 My Security Credentials (我的安全凭证)。如有必要,选择 Continue to Security Credentials

    
                  导航菜单中的“My Security Credentials (我的安全凭证)”
  3. 展开 Multi-factor authentication (MFA) (多重验证) 部分。

  4. 根据在上一步选择的选项,选择 Manage MFAActivate MFA

  5. 在向导中,选择 Hardware MFA device (硬件 MFA 设备),然后选择 Continue (继续)

  6. Serial Number (序列号) 框中,键入在 MFA 设备背面找到的序列号。

  7. MFA code 1 (MFA 代码 1) 框中,输入 MFA 设备显示的六位数编码。您需要按设备正面的按钮来显示编码。

    
                  IAM 控制面板,MFA 设备
  8. 在设备刷新期间等候 30 秒,然后在 MFA code 2 (MFA 代码 2) 框中键入第二个六位数编码。您需要再次按设备正面的按钮来显示第二个编码。

  9. 选择 Assign MFA (分配 MFA)。MFA 设备现已与 AWS 账户相关联。

    重要

    在生成身份验证代码后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备

    下次使用根用户凭证登录时,您必须键入 MFA 设备生成的代码。

替换或“轮换”物理 MFA 设备

您一次只能将一台 MFA 设备分配给用户。如果用户丢失设备或出于任何原因需要替换它,您必须先停用旧设备。然后,您可以为用户添加新设备。