向用户池添加多重验证 (MFA) - Amazon Cognito
先决条件配置多重验证
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

向用户池添加多重验证 (MFA)

多重验证 (MFA) 通过增加另一种身份验证方法并且不单靠用户名和密码来提高应用程序的安全性。可以选择使用短信或基于时间的一次性 (TOTP) 密码作为用户登录的第二安全要素。

借助自适应身份验证,可以将用户池配置为响应增加的风险级别需要第二安全要素身份验证。要向用户池添加自适应身份验证,请参阅向用户池添加高级安全

主题

先决条件

在开始之前,您需要:

  • 最初创建用户池时,只能选择 MFA 为必需

  • 在启用 MFA 且选择短信作为第二安全要素时,必须验证电话号码。

  • 高级安全功能要求 MFA 已启用并在 Amazon Cognito 用户池控制台中设置为可选。有关更多信息,请参阅 向用户池添加高级安全

配置多重验证

在 Amazon Cognito 控制台中配置 MFA

  1. 从左侧导航栏中,选择 MFA 和验证

  2. 选择 MFA 处于关闭可选还是必需状态。

    通知用户

  3. 选择可选以按用户启用 MFA(或者如果使用的是基于风险的自适应身份验证)。有关自适应身份验证的更多信息,请参阅向用户池添加高级安全

  4. 用户可以使用短信基于时间的一次性密码作为第二安全要素。选择要在应用程序中支持的第二安全要素。我们建议使用 TOTP 作为第二因素。这允许使用 SMS 作为密码恢复机制,该机制与身份验证因素不相干。

  5. 如果使用短信作为第二安全要素并且未定义具有此权限的 IAM 角色,则可在控制台中创建一个此角色。选择创建角色以创建允许 Amazon Cognito 代表您向用户发送 SMS 消息的 IAM 角色。有关更多信息,请参阅 IAM 角色

  6. 选择 Save changes