在 Amazon Web Services Management Console 中分配虚拟 MFA 设备 - Amazon Identity and Access Management
所需权限为 IAM 用户启用虚拟 MFA 设备(控制台)替换虚拟 MFA 设备
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 Amazon Web Services Management Console 中分配虚拟 MFA 设备

您可以将手机或其他设备作为虚拟 Multi-Factor Authentication (MFA) 设备。为此,请安装符合 RFC 6238 的移动应用程序,这是一种基于标准的 TOTP(基于时间的一次性密码)算法。这些应用程序生成六位数的身份验证代码。由于虚拟 MFA 可能在不安全的移动设备上运行,因此,它们可能无法提供与 FIDO2 安全密钥和通行密钥等防网络钓鱼选项相同的安全级别。

如果您正在考虑为 MFA 改用 FIDO2 安全密钥,强烈建议您在等待任何硬件购买批准或硬件到货时继续使用虚拟 MFA 设备。

大多数虚拟 MFA 应用程序支持创建多个虚拟设备,从而允许您在多个 Amazon Web Services 账户 或用户中使用相同的应用程序。您最多可以向 Amazon Web Services 账户根用户 和 IAM 用户注册 8MFA 类型任意组合的 MFA 设备。只需一台 MFA 设备即可登录 Amazon Web Services Management Console 或通过 Amazon CLI 创建会话。建议注册多个 MFA 设备。对于身份验证器应用程序,我们还建议您启用云备份或同步功能,以帮助避免在设备丢失或损坏时失去对账户的访问权限。

Amazon 需要可产生六位数 OTP 的虚拟 MFA 应用程序。有关您可以使用的虚拟 MFA 应用程序的列表,请参阅 Multi-Factor Authentication

所需权限

要管理您的 IAM 用户的虚拟 MFA 设备,您必须具有以下策略中的权限:Amazon:允许使用 MFA 完成身份验证的 IAM 用户在“安全凭证”页面上管理自己的 MFA 设备。

为 IAM 用户启用虚拟 MFA 设备(控制台)

您可在 Amazon Web Services Management Console 中使用 IAM 为您账户中的 IAM 用户启用和管理虚拟 MFA 设备。您可以将标签附加到 IAM 资源(包括虚拟 MFA 设备),以识别、组织和控制对这些资源的访问。只有在使用 Amazon CLI 或 Amazon API 时,才能标记虚拟 MFA 设备。要使用 Amazon CLI 或 Amazon API 启用和管理 MFA 设备,请参阅 在 Amazon CLI 或 Amazon API 中分配 MFA 设备。有关标记 IAM 资源的更多信息,请参阅 Amazon Identity and Access Management 资源的标签

注意

您必须拥有对将托管用户的虚拟 MFA 设备的硬件的物理访问权限以便配置 MFA。例如,您可能为使用在智能手机上运行的虚拟 MFA 设备的用户配置 MFA。在这种情况下,您必须具有智能手机才能完成该向导。因此,您可能想让用户配置和管理他们自己的虚拟 MFA 设备。在此情况下,您必须授予用户执行必要的 IAM 操作所需的权限。有关更多信息以及授予这些权限的 IAM policy 示例,请参阅 IAM 教程:允许用户管理其凭证和 MFA 设置 和示例策略 Amazon:允许使用 MFA 完成身份验证的 IAM 用户在“安全凭证”页面上管理自己的 MFA 设备。

为 IAM 用户启用虚拟 MFA 设备(控制台)

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择用户

  3. Users(用户)列表中,选择 IAM 用户的名称。

  4. 选择 Security Credentials (安全证书) 选项卡。在 Multi-factor authentication (MFA) [多重身份验证(MFA)] 部分中,选择 Assign MFA device(分配 MFA 设备)。

  5. 在向导中,键入设备名称,选择身份验证器应用程序,然后选择下一步

    IAM 将生成并显示虚拟 MFA 设备的配置信息,包括 QR 代码图形。此图形是秘密配置密钥的表示形式,适用于不支持 QR 代码的设备上的手动输入。

  6. 打开您的虚拟 MFA 应用程序。有关可用于托管虚拟 MFA 设备的应用程序的列表,请参阅多重身份验证

    如果虚拟 MFA 应用程序支持多个虚拟 MFA 设备或账户,请选择相应的选项以创建新的虚拟 MFA 设备或账户。

  7. 确定 MFA 应用程序是否支持 QR 代码,然后执行以下操作之一:

    • 在向导中,选择 Show QR 代码 (显示 QR 代码),然后使用该应用程序扫描 QR 代码。这可能是摄像头图标或使用设备的摄像头扫描代码的扫描代码选项。

    • 在向导中,选择 Show secret key(显示私有密钥),然后在您的 MFA 应用程序中键入私有密钥。

    完成操作后,虚拟 MFA 设备会开始生成一次性密码。

  8. 设置设备页面中的 MFA 代码 1 框中,键入虚拟 MFA 设备当前显示的一次性密码。请等候 30 秒,以便设备生成新的一次性密码。然后在 MFA code 2 (MFA 代码 2) 框中键入第二个一次性密码。选择 Add MFA(添加 MFA)。

    重要

    生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码(TOTP)很快会过期。这种情况下,您可以重新同步设备

虚拟 MFA 设备现在已准备好与 Amazon 一起使用了。有关在 Amazon Web Services Management Console上使用 MFA 的信息,请参阅 已启用 MFA 的登录

注意

当您通过 Amazon Web Services Management Console或在登录过程中添加新的虚拟 MFA 设备时,系统会删除您 Amazon Web Services 账户中未分配的虚拟 MFA 设备。未分配的虚拟 MFA 设备是指您账户中的设备,但在登录过程中不被账户根用户或 IAM 用户使用。已删除这些设备,因此可以向您的账户添加新的虚拟 MFA 设备。它还允许您重复使用设备名称。

  • 要查看账户中未分配的虚拟 MFA 设备,您可以使用 list-virtual-mfa-devices Amazon CLI 命令或 API call 调用。

  • 要停用虚拟 MFA 设备,您可以使用 deactivate-mfa-device Amazon CLI 命令或 API 调用。设备将变为未分配状态。

  • 要将未分配的虚拟 MFA 设备附加到您的 Amazon Web Services 账户根用户或 IAM 用户,您需要设备生成的身份验证码,以及 enable-mfa-device Amazon CLI 命令或 API 调用。

替换虚拟 MFA 设备

您的 Amazon Web Services 账户根用户 和 IAM 用户最多可以注册 8 台 MFA 类型任意组合的 MFA 设备。如果用户丢失设备或出于任何原因需要更换设备,请先停用旧设备。然后,您可以为用户添加新设备。