AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

启用硬件 MFA 设备 (控制台)

您可从 AWS 管理控制台、命令行或 IAM API 启用硬件 MFA 设备。下列流程向您介绍如何使用 AWS 管理控制台为 AWS 账户内的用户启用设备。要为您的 AWS 账户根用户 启用 MFA 设备,请参阅为 AWS 账户根用户启用硬件 MFA 设备 (控制台)

您可以为每个 根用户 或 IAM 用户启用一台 MFA 设备 (任何类型)。

注意

如果想从命令行启用设备,请使用 aws iam enable-mfa-device。如要使用 IAM API 启用 MFA 设备,请使用 EnableMFADevice 操作。

为 IAM 用户启用硬件 MFA 设备 (控制台)

您可以从 AWS 管理控制台启用硬件 MFA 设备。

为 IAM 用户启用硬件 MFA 设备 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 选择要为其启用 MFA 的用户的名称,然后选择 Security credentials 选项卡。

  4. 选择 Assigned MFA device 旁的铅笔图标 ( )。

  5. Manage MFA Device 向导中,选择 A hardware MFA device,然后选择 Next Step

  6. 键入设备序列号。序列号通常位于设备的背面。

  7. Authentication Code 1 文本框内输入 MFA 设备显示的六位数编码。您需要按设备正面的按钮来显示编码。

     IAM 控制面板,MFA 设备
  8. 设备刷新代码过程中需等候 30 秒,然后在 Authentication Code 2 文本框中键入第二次生成的六位数编码。您需要再次按设备正面的按钮来显示第二个编码。

  9. 选择 Next Step

    重要

    在生成身份验证代码后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备

设备已准备就绪,可在 AWS 上使用。有关在 AWS 管理控制台上使用 MFA 的信息,请参阅使用 MFA 设备访问您的 IAM 登录页面

为 AWS 账户根用户启用硬件 MFA 设备 (控制台)

您可在 AWS 管理控制台中使用 IAM 为 根用户 配置和启用硬件 MFA 设备。要管理 AWS 账户的 MFA 设备,您必须使用 AWS 账户根用户 凭证登录 AWS。您无法使用其他凭证来管理 根用户 的 MFA 设备。

如果您的 MFA 设备丢失、被盗或无法正常运行,您仍然可以使用替代的身份验证因素登录。这意味着,如果您不能使用 MFA 设备登录,则可以使用和您的账户一起注册的电子邮件和电话验证您的身份来登录。为您的 根用户 启用 MFA 之前,请检查您的账户设置和联系信息,确保您可以访问电子邮件地址和电话号码。要了解如何使用替代的身份验证因素登录,请参阅若 MFA 设备遗失或停止工作,该怎么办?。要禁用此功能,请联系 AWS Support

注意

如果您使用在 2017 年 9 月 14 日以后创建的 AWS 账户,您可能会发现在以下控制台页面中存在差异:使用身份验证设备登录排除您的身份验证设备故障。不过,它们提供了相同的功能。在任一情况下,如果您无法使用替代身份验证因素验证您的账户电子邮件地址和电话号码,请与 AWS Support 联系以停用您的 MFA 设置。

为 根用户 启用 MFA 设备 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

    重要

    要管理 AWS 账户的 MFA 设备,您必须使用 根用户 凭证登录 AWS。使用其他凭证登录期间,您无法管理 根用户 的 MFA 设备。

  2. 执行以下任一操作:

    • 选项 1:选择 Dashboard,在 Security Status 下展开 Activate MFA on your root account

    • 选项 2:在导航栏的右侧选择您的账户名称,然后选择 Security Credentials。如有必要,选择 Continue to Security Credentials。然后展开页面上的 Multi-Factor Authentication (MFA) 部分。

       导航菜单中的“Security Credentials (安全证书)”
  3. 根据在上一步选择的选项,选择 Manage MFAActivate MFA

  4. 在向导中,选择 A hardware MFA device,然后选择 Next Step

  5. Serial Number 框中,键入在 MFA 设备背面找到的序列号。

  6. Authentication Code 1 文本框内输入 MFA 设备显示的六位数编码。您需要按设备正面的按钮来显示编码。

     IAM 控制面板,MFA 设备
  7. 设备刷新代码过程中需等候 30 秒,然后在 Authentication Code 2 文本框中键入第二次生成的六位数编码。您需要再次按设备正面的按钮来显示第二个编码。

  8. 选择 Next Step。MFA 设备现已与 AWS 账户相关联。

    重要

    在生成身份验证代码后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备

    下次使用 根用户 凭证登录时,您必须键入 MFA 设备生成的代码。

替换或“轮换”物理 MFA 设备

您一次只能将一台 MFA 设备分配给用户。如果用户丢失设备或出于任何原因需要替换它,您必须先停用旧设备。然后,您可以为用户添加新设备。