AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

若 MFA 设备遗失或停止工作,该怎么办?

如果您的 AWS 账户根用户 多重身份验证 (MFA) 设备丢失、损坏或无法正常工作,您可以使用替代的身份验证方法进行登录。这意味着,如果您不能使用 MFA 设备登录,则可以使用和您的账户一起注册的电子邮件和电话验证您的身份来登录。

虚拟 MFA 设备硬件 MFA 设备似乎运行正常,但您却无法使用它访问 AWS 资源,则可能是与 AWS 不同步所导致的。有关同步虚拟 MFA 设备或硬件 MFA 设备的信息,请参阅重新同步虚拟和硬件 MFA 设备U2F 安全密钥不同步。

如果与 IAM 用户关联的 MFA 设备丢失或停止工作,用户将无法恢复它。IAM 用户必须与管理员联系以停用该设备。

作为根用户使用替代的身份验证因素登录之前,请确保您有权访问与您的账户关联的电子邮件地址和电话号码。

使用替代的身份验证因素作为 AWS 账户根用户登录

  1. 使用您的 AWS 账户电子邮件地址和密码以 AWS 账户根用户 身份登录 AWS 管理控制台

  2. Amazon Web Services Sign In Using MFA (使用 MFA 登录 Amazon Web Services) 页面上,选择 Having problems with your authentication device? Click here

    注意

    如果您使用的是 2017 年 9 月 14 日以后创建的 AWS 账户,可能会看到以下控制台文本:Sign in with authentication device (使用身份验证设备登录)Troubleshoot your authentication device (排除您的身份验证设备故障)。不过,它们提供了相同的功能。在任一情况下,如果您无法使用替代身份验证因素验证您的账户电子邮件地址和电话号码,请与 AWS Support 联系以停用您的 MFA 设置。

  3. 如果需要,请再次键入您的密码,然后选择 Sign in

  4. Sign In Using Alternative Factors of Authentication 部分中,选择 Sign in using alternative factors

  5. 要通过验证您的电子邮件地址来验证账户的身份,请选择 Send

  6. 检查与您的 AWS 账户关联的电子邮件中有无来自 Amazon Web Services (no-reply-aws@amazon.com) 的邮件。按照电子邮件中的指导进行操作。

    如果您没有在账户中看到该电子邮件,请检查垃圾邮件文件夹,或者返回到浏览器并选择 Resend the email

  7. 在验证您的电子邮件地址后,您可以继续验证您的账户的身份。要验证您的电话号码,请选择 Call me now

  8. 接听 AWS 打来的电话,在听到提示时,在手机键盘上输入从 AWS 网站获得的 6 位数号码。

    如果您没有接到 AWS 打来的电话,请选择 Sign in (登录) 以再次登录到控制台并重新开始。或者,请选择 AWS Support 联系支持人员以寻求帮助。

  9. 在验证您的电话号码后,您可以通过选择 Sign in to the console 登录到您的账户。

  10. 下一步取决于您使用的 MFA 的类型:

    • 对于虚拟 MFA 设备,请从您的设备中删除账户。然后,转至 AWS Security Credentials 页面并删除旧的 MFA 虚拟设备实体,然后再创建一个新的。

    • 对于 U2F 安全密钥,请转至 AWS 安全证书页面并停用旧 U2F 密钥然后再启用一个新密钥。

    • 对于硬件 MFA 设备,请联系第三方提供商以帮助您修复或更换设备。您可以继续使用替代的身份验证因素登录,直到您收到新设备为止。在您拥有新的硬件 MFA 设备后,请转至 AWS 安全凭证页面并删除旧的 MFA 硬件设备实体然后再新建一个。

    注意

    不必将丢失或被盗的 MFA 设备替换为相同类型的设备。例如,如果 U2F 安全密钥损坏,您订购了一个新的密钥,则可以使用虚拟 MFA 或硬件 MFA 设备,直到收到一个新 U2F 安全密钥。

  11. 如果 MFA 设备丢失或被盗,还可更改 AWS 密码,以防攻击者盗走您的身份验证设备以及同时可能拥有您的当前密码。

作为 IAM 用户获取有关 MFA 设备的帮助

  1. 请联系 AWS 管理员或其他为您提供 IAM 用户的用户名和密码的相关人员。管理员必须停用 MFA 设备 (如停用 MFA 设备中所述),以便您能够登录。

  2. 下一步取决于您使用的 MFA 的类型:

    注意

    不必将丢失或被盗的 MFA 设备替换为相同类型的设备。例如,如果 U2F 安全密钥损坏,您订购了一个新的密钥,则可以使用虚拟 MFA 或硬件 MFA 设备,直到收到一个新 U2F 安全密钥。

  3. 如果您的 MFA 设备丢失或被盗,还请更改密码,以防攻击者盗走您的身份验证设备及还可能拥有您当前的密码。