若 MFA 设备遗失或停止工作,该怎么办? - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

若 MFA 设备遗失或停止工作,该怎么办?

虚拟 MFA 设备硬件 TOTP 令牌似乎运行正常,但您却无法使用它访问 Amazon 资源,则可能是与 Amazon 不同步所导致的。有关同步虚拟 MFA 设备或硬件 MFA 设备的信息,请参阅重新同步虚拟和硬件 MFA 设备FIDO 安全密钥不同步。

如果您的 Amazon Web Services 账户根用户 多重身份验证(MFA)设备丢失、损坏或无法工作,您可以恢复对账户的访问权限。IAM 用户必须与管理员联系,才能将设备停用。

重要

我们建议您为 IAM 用户启用多台 MFA 设备,以确保在 MFA 设备丢失或无法访问时能够继续访问您的账户。您最多可以向 Amazon Web Services 账户 根用户和 IAM 用户注册 8 台当前支持的 MFA 类型任意组合的 MFA 设备。

恢复根用户用户 MFA 设备

如果您的 Amazon Web Services 账户根用户 多重身份验证(MFA)设备丢失、损坏或无法正常工作,您可以使用已注册到同一 Amazon Web Services 账户根用户 的另一台 MFA 设备登录。如果根用户只启用了一台 MFA 设备,您可以使用其他身份验证方法。这意味着,如果您无法使用 MFA 设备登录,您可以使用和账户一起注册的电子邮件和主要联系人电话号码验证您的身份来进行登录。

作为根用户使用替代的身份验证因素登录之前,您必须能够访问与您的账户关联的电子邮件地址和主要联系人电话号码。如果您需要更新主要联系人电话号码,您可以以具有管理员访问权限的 IAM 用户身份而非根用户身份登录。有关更新账户联系信息的其他说明,请参阅《Amazon Billing 用户指南》中的编辑联系信息。如果您无权访问电子邮件和主要联系人电话号码,则必须联系 Amazon Web Services Support

重要

我们建议您不断更新与根用户关联的电子邮件地址和联系电话号码,以便成功恢复账户。有关更多信息,请参阅《Amazon Account Management 参考指南》中的 更新 Amazon Web Services 账户的主要联系人

使用替代的身份验证因素作为 Amazon Web Services 账户根用户登录
  1. 选择 Root user(根用户)并输入您的 Amazon Web Services 账户 电子邮件地址,以账户拥有者身份登录 Amazon Web Services Management Console。在下一页上,输入您的密码。

  2. 需要其他验证页面上,选择要用于身份验证的 MFA 方法,然后选择下一步

    注意

    可能会显示替代文本,例如 Sign in using MFA(使用 MFA 登录)、Troubleshoot your authentication device(对身份验证设备进行故障排除)或 Troubleshoot MFA(对 MFA 进行故障排除),但其功能均相同。如果您无法使用替代身份验证因素验证您的账户电子邮件地址和主要联系人电话号码,请与 Amazon Web Services Support 联系以停用您的 MFA 设备。

  3. 根据您使用的 MFA 类型,您将看到不同的页面,但是 MFA 问题排查选项的功能相同。在需要其他验证页面或多重身份验证页面上,选择 MFA 问题排查

  4. 如果需要,请再次键入您的密码,然后选择 Sign in

  5. 身份验证设备问题排查页面的使用替代身份验证因素登录部分中,选择使用替代因素登录

  6. 使用替代身份验证因素登录页面上,通过验证电子邮件地址完成账户身份验证,然后选择发送验证电子邮件

  7. 检查与您的 Amazon Web Services 账户 关联的电子邮件中有无来自 Amazon Web Services(recover-mfa-no-reply@verify.signin.aws)的邮件。按照电子邮件中的指导进行操作。

    如果您没有在账户中看到该电子邮件,请检查垃圾邮件文件夹,或者返回到浏览器并选择 Resend the email

  8. 在验证您的电子邮件地址后,您可以继续验证您的账户的身份。要验证您的主要联系人电话号码,请选择 Call me now(立即呼叫我)。

  9. 接听 Amazon 打来的电话,在听到提示时,在手机键盘上输入从 Amazon 网站获得的 6 位数号码。

    如果您没有接到 Amazon 打来的电话,请选择 Sign in (登录) 以再次登录到控制台并重新开始。或者,请参阅多重身份验证(MFA)设备丢失或无法使用联系支持人员以获取帮助。

  10. 在验证您的电话号码后,您可以通过选择 Sign in to the console 登录到您的账户。

  11. 下一步取决于您使用的 MFA 的类型:

    • 对于虚拟 MFA 设备,请从您的设备中删除账户。然后,转至 Amazon Security Credentials 页面并删除旧的 MFA 虚拟设备实体,然后再创建一个新的。

    • 对于 FIDO 安全密钥,请转至 Amazon Security Credentials(安全凭证)页面并停用旧 FIDO 密钥然后再启用一个新密钥。

    • 对于硬件 TOTP 令牌,请联系第三方提供商以帮助您修复或更换设备。您可以继续使用替代的身份验证因素登录,直到您收到新设备为止。在您拥有新的硬件 MFA 设备后,请转至 Amazon 安全凭证页面并删除旧的 MFA 硬件设备实体然后再新建一个。

    注意

    不必将丢失或被盗的 MFA 设备替换为相同类型的设备。例如,如果 FIDO 安全密钥损坏,您订购了一个新的密钥,则可以使用虚拟 MFA 或硬件 TOTP 令牌,直到收到新 FIDO 安全密钥。

重要

如果您的 MFA 设备丢失或被盗,在使用其他身份验证因素登录并建立替换 MFA 设备后,更改您的根用户密码,以防攻击者窃取了身份验证设备并且可能还拥有您的当前密码。有关更多信息,请参阅 Amazon Account Management 参考指南中的更改 Amazon Web Services 账户根用户 的密码

恢复 IAM 用户 MFA 设备

如果您是 IAM 用户,且您的设备丢失或停止工作,则无法自行恢复。您必须与管理员联系,才能将设备停用。然后,您可以启用新设备。

作为 IAM 用户获取有关 MFA 设备的帮助
  1. 请联系 Amazon 管理员或其他为您提供 IAM 用户的用户名和密码的相关人员。管理员必须停用 MFA 设备 (如停用 MFA 设备中所述),以便您能够登录。

  2. 下一步取决于您使用的 MFA 的类型:

    注意

    不必将丢失或被盗的 MFA 设备替换为相同类型的设备。您最多可以拥有 8 台任意组合的 MFA 设备。例如,如果 FIDO 安全密钥损坏,您订购了一个新的密钥,则可以使用虚拟 MFA 或硬件 TOTP 令牌,直到收到新 FIDO 安全密钥。

  3. 如果您的 MFA 设备丢失或被盗,还请更改密码,以防攻击者盗走您的身份验证设备及还可能拥有您当前的密码。有关更多信息,请参阅管理 IAM 用户的密码