AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

启用虚拟多重验证 (MFA) 设备

虚拟 MFA 设备使用软件应用程序生成一个六位数身份验证代码,此代码符合基于时间的一次性密码 (TOTP) 标准,如 RFC 6238 中所述。此应用程序可在移动硬件设备 (包括智能手机) 上运行。通过使用大多数虚拟 MFA 应用程序,您可以托管多个虚拟 MFA 设备,这会使其比硬件 MFA 设备更方便。但要注意,虚拟 MFA 可能在不太安全的设备上运行,例如,智能手机。因此,虚拟 MFA 可能不会提供与硬件 MFA 设备相同的安全水平。

您只能为每个 AWS 账户根用户 或 IAM 用户启用一个 MFA 设备,且该设备只能由指定用户使用。请注意,尽管某些虚拟 MFA 软件应用程序看起来支持多个账户,但添加的每个账户表示一个虚拟 MFA 设备。此外,每个虚拟设备仍然只能与一个用户关联。

有关可在智能手机和平板电脑 (包括 Google Android、Apple iPhone 和 iPad 以及 Windows Phone) 上使用的虚拟 MFA 应用的列表,请转至 http://amazonaws.cn/iam/details/mfa/ 上的虚拟 MFA 应用程序部分。请注意,AWS 需要可产生六位数 OTP 的虚拟 MFA 应用程序。

使用以下步骤可从 AWS 管理控制台中启用和管理 MFA 设备。要通过命令行启用和管理 MFA 设备或使用 API,请参阅启用和管理虚拟 MFA 设备 (AWS CLI、Windows PowerShell 工具 或 AWS API)

重要

建议您在将虚拟 MFA 设备配置为用于 AWS时,请将 QR 代码或键的副本保存在安全位置。这样一来,如果手机丢失或出于任何原因必须重新安装 MFA 软件应用程序,您可以重新配置应用程序以使用相同的虚拟 MFA。这样便无需在 AWS 中为用户或根用户新建虚拟 MFA。

为 IAM 用户启用虚拟 MFA 设备 (AWS 管理控制台)

您可在 AWS 管理控制台中使用 IAM 为您账户下的 IAM 用户启用虚拟 MFA 设备。

注意

您必须拥有对将托管用户的虚拟 MFA 设备的硬件的物理访问权限以便配置 MFA。例如,您可能为使用在智能手机上运行的虚拟 MFA 设备的用户配置 MFA。在这种情况下,您必须具有智能手机才能完成该向导。因此,您可能想让用户配置和管理他们自己的虚拟 MFA 设备。在此情况下,您必须授予用户执行必要的 IAM 操作所需的权限。有关更多信息以及授予这些权限的 IAM 策略示例,请参阅仅允许用户管理自己的虚拟 MFA 设备

为用户启用虚拟 MFA 设备

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. User Name 列表中,选择目标 MFA 用户的名称。

  4. 选择 Security Credentials 选项卡,然后选择 Assigned MFA device 旁的编辑图标 ( )。

  5. Manage MFA Device 向导中,选择 A virtual MFA device,然后选择 Next Step

    IAM 将生成并显示虚拟 MFA 设备的配置信息,包括 QR 代码图形。此图形是秘密配置密钥的表示形式,适用于不支持 QR 代码的设备上的手动输入。

  6. 打开您的虚拟 MFA 应用程序。(有关可以用作托管虚拟 MFA 设备的应用程序的列表,请参阅虚拟 MFA 应用程序。)如果虚拟 MFA 应用程序支持多个账户 (多个虚拟 MFA 设备),请选择相应的选项以创建新账户 (新的虚拟 MFA 设备)。

  7. 确定 MFA 应用程序是否支持 QR 代码,然后执行以下操作之一:

    • 使用此应用程序扫描 QR 代码。例如,您可选择摄像头图标或选择类似于 Scan code 的选项,然后使用设备的摄像头扫描此代码。

    • 管理 MFA 设备向导中,选择显示手动配置的私有密钥,然后在您的 MFA 应用程序中键入私有配置密钥。

    完成操作后,虚拟 MFA 设备会开始生成一次性密码。

  8. Manage MFA Device 向导的 Authentication Code 1 框中,键入虚拟 MFA 设备上当前显示的一次性密码。请等候 30 秒,以便设备生成新的一次性密码。然后将第二个一次性密码键入 Authentication Code 2 框中。选择 Active Virtual MFA

    重要

    生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备

虚拟 MFA 设备现在已准备好与 AWS 一起使用了。有关在 AWS 管理控制台上使用 MFA 的信息,请参阅 使用 MFA 设备访问您的 IAM 登录页面

为您的 AWS 账户根用户启用虚拟 MFA 设备 (控制台)

您可在 AWS 管理控制台中使用 IAM 为根用户配置和启用虚拟 MFA 设备。要管理 AWS 账户的 MFA 设备,您必须使用根用户凭证登录 AWS。您无法使用其他凭证来管理 根用户 的 MFA 设备。

如果您的 MFA 设备丢失、被盗或无法正常运行,您仍然可以使用替代的身份验证因素登录。为此,您必须使用和您的账户一起注册的电子邮件和电话来验证您的身份。这意味着,如果您不能使用 MFA 设备登录,则可以使用和您的账户一起注册的电子邮件和电话验证您的身份来登录。为您的 根用户 启用 MFA 之前,请检查您的账户设置和联系信息,确保您可以访问电子邮件地址和电话号码。要了解如何使用替代的身份验证因素登录,请参阅若 MFA 设备遗失或停止工作,该怎么办?。要禁用此功能,请联系 AWS Support

注意

如果您使用在 2017 年 9 月 14 日以后创建的 AWS 账户,您可能会发现在以下控制台页面中存在差异:使用身份验证设备登录排除您的身份验证设备故障。不过,它们提供了相同的功能。在任一情况下,如果您无法使用替代身份验证因素验证您的账户电子邮件地址和电话号码,请与 AWS Support 联系以停用您的 MFA 设置。

配置和启用虚拟 MFA 设备以用于根用户

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 执行以下任一操作:

    • 选项 1:选择 Dashboard,在 Security Status 下展开 Activate MFA on your 根用户

    • 选项 2:在导航栏的右侧选择您的账户名称,然后选择 Security Credentials。如有必要,选择 Continue to Security Credentials。然后展开页面上的 Multi-Factor Authentication (MFA) 部分。

       导航菜单中的“Security Credentials (安全证书)”
  3. 根据在上一步选择的选项,选择 Manage MFAActivate MFA

  4. 在向导中,选择 A virtual MFA device,然后选择 Next Step

  5. 确认在设备上安装了虚拟 MFA 应用程序,然后选择下一步。IAM 将生成并显示虚拟 MFA 设备的配置信息,包括 QR 代码图形。此图形是秘密配置密钥的表示形式,适用于不支持 QR 代码的设备上的手动输入。

  6. 在仍打开管理 MFA 设备向导的情况下,在设备上打开虚拟 MFA 应用程序。

  7. 如果虚拟 MFA 软件支持多个账户(多台虚拟 MFA 设备),请选择创建新账户(新的虚拟设备)的选项。

  8. 要配置应用程序,最简单的方法是使用应用程序扫描 QR 代码。如果您无法扫描代码,则可手动键入配置信息。

    • 要使用 QR 代码类配置虚拟 MFA 设备,请按照应用程序说明来扫描该代码。例如,您可能需要点击摄像头图标或点击命令(如 Scan account barcode),然后使用该设备的摄像头扫描 QR 代码。

    • 如果您无法扫描代码,请在应用程序中键入私有配置密钥值以手动键入配置信息。例如,要在 AWS 虚拟 MFA 应用程序中执行此操作,请选择手动添加账户,然后键入私有配置密钥并选择创建

    重要

    对 QR 代码或私有配置密钥进行安全备份,或确保启用为您的账户启用多个虚拟 MFA 设备。虚拟 MFA 设备可能变为不可用 (例如,如果丢失了承载虚拟 MFA 设备的智能手机)。这种情况下,您将无法登录该账户,必须与客户服务部门联系才能取消账户的 MFA 保护。

    注意

    IAM 生成的 QR 代码和秘密配置密钥与您的 AWS 账户关联,不能用于其他账户。但是,如果您失去对原始 MFA 设备的访问权,可以重新使用它们为您的账户配置新的 MFA 设备。

    设备开始生成六位数编码。

  9. Manage MFA Device (管理 MFA 设备) 向导中的 Authentication Code 1 (身份验证代码 1) 文本框中,输入 MFA 设备当前显示的六位数编码。请等候 30 秒,以便设备生成新的编码,然后在 Authentication Code 2 (身份验证代码 2) 框中输入新的六位数编码。

    重要

    生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备

  10. 选择 Next Step,然后选择 Finish

设备已准备就绪,可在 AWS 上使用。有关在 AWS 管理控制台上使用 MFA 的信息,请参阅 使用 MFA 设备访问您的 IAM 登录页面

替换或“轮换”虚拟 MFA 设备

您一次只能将一台虚拟 MFA 设备分配给用户。如果用户丢失设备或出于任何原因需要替换它,您必须先停用旧设备。然后,您可以为用户添加新设备。