为启用多重验证AmazonMicrosoft Managed AD - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为启用多重验证AmazonMicrosoft Managed AD

您可以为您的多重验证 (MFA) 启用多重验证 (MFA)Amazon托管 Microsoft AD 目录以提高您的用户指定其 AD 凭证以访问时的安全性。支持的 Amazon 企业应用. 启用 MFA 后,您的用户如常输入其用户名和密码 (第一安全要素),它们还必须输入通过您的虚拟或硬件 MFA 解决方案获取的身份验证代码 (第二安全要素)。除非用户提供有效的用户凭证和 MFA 代码,否则这些安全要素将通过阻止对您的 Amazon 企业应用程序的访问来提高安全性。

要启用 MFA,您必须拥有一个 MFA 解决方案远程身份验证拨入用户服务(RADIUS) 服务器,或已在本地基础设施中实现的 RADIUS 服务器必须具有 MFA 插件。您的 MFA 解决方案应实施一次性密码 (OTP),用户可从硬件设备或在设备 (如手机) 上运行的软件来获取此密码。

RADIUS 是一种行业标准客户端/服务器协议,提供身份验证、授权和账户管理,以使用户能够连接到网络服务。Amazon受管 Microsoft AD 包括一个 RADIUS 客户端,此客户端将连接到已实现 MFA 解决方案的 RADIUS 服务器。您的 RADIUS 服务器将验证用户名和 OTP 代码。如果您的 RADIUS 服务器成功验证用户,Amazon然后托管的 Microsoft AD 针对 AD 对用户进行身份验证。AD 身份验证成功后,用户之后可访问Amazon应用程序. 之间的沟通Amazon托管 Microsoft AD RADIUS 客户端和 RADIUS 服务器需要您配置Amazon启用通过端口 1812 进行通信的安全组。

您可以为启用多重验证Amazon通过执行以下过程来管理 Microsoft AD 目录。有关如何配置 RADIUS 服务器以使用 Amazon Directory Service 和 MFA 的更多信息,请参阅多重验证先决条件

注意

多重验证对 Simple AD 不可用。但是,可为 AD Connector 目录启用 MFA。有关更多信息,请参阅为 AD Connector 启用多重验证

注意

MFA 是一个区域特征Amazon托管的 Microsoft AD。如果您正在使用多区域复制,必须在每个地区单独应用以下程序。有关更多信息,请参阅全球与区域功能

为 启用多重验证AmazonMicrosoft Managed AD

  1. 确定您的 RADIUS MFA 服务器的 IP 地址和Amazon托管的 Microsoft AD 目录。

  2. 编辑您的 Virtual Private Cloud (VPC) 安全组以启用通过端口 1812 的通信Amazon托管微软 AD IP 端点和你的 RADIUS MFA 服务器。

  3. Amazon Directory Service控制台导航窗格中,选择目录.

  4. 选择目录 ID 链接Amazon托管的 Microsoft AD 目录。

  5. 在存储库的目录详细信息页面上,执行以下操作之一:

    • 如果你在下面显示了多个地区多区域复制,选择要在其中启用 MFA 的区域,然后选择网络 & 安全选项卡 有关更多信息,请参阅主要与其他地区

    • 如果您没有显示在下面的任何区域多区域复制,选择网络 & 安全选项卡

  6. 多重验证部分中,选择操作,然后选择启用

  7. 在存储库的启用多重验证 (MFA)页面中,提供以下值:

    显示标签

    提供标签名称。

    RADIUS 服务器 DNS 名称或 IP 地址

    您的 RADIUS 服务器终端节点的 IP 地址或者您的 RADIUS 服务器负载均衡器的 IP 地址。可以输入多个 IP 地址 (用逗号分隔开),例如192.0.0.0,192.0.0.12)。

    注意

    RADIUS MFA 仅适用于验证对Amazon Web Services Management Console,或者适用于 WorkSpaces、Amazon QuickSight 或 Amazon Chime 等亚马逊企业应用程序和服务。它不向 EC2 实例上运行的 Windows 工作负载提供 MFA,也不会为登录 EC2 实例提供 MFA。Amazon Directory Service不支持 RADIUS 质询/响应身份验证。

    用户在输入用户名和密码时必须有 MFA 代码。或者,您必须使用执行带外 MFA 的解决方案,例如为用户进行短信文本验证。在带外 MFA 解决方案中,您必须确保为解决方案适当地设置了 RADIUS 超时值。使用带外 MFA 解决方案时,登录页面将提示用户输入 MFA 代码。在这种情况下,用户必须在密码字段和 MFA 字段中输入密码。

    端口

    RADIUS 服务器用来通信的端口。您的本地网络必须允许通过默认的 RADIUS 服务器端口 (UDP: 1812) 从Amazon Directory Service服务器。

    Shared secret code

    在创建 RADIUS 终端节点时指定的共享密码。

    Confirm shared secret code (确认共享密码)

    确认您的 RADIUS 终端节点的共享密码。

    协议

    选择在创建 RADIUS 终端节点时指定的协议。

    服务器超时(以秒为单位)

    等待 RADIUS 服务器响应的时间长度 (以秒为单位)。此值必须介于 1 和 50 之间。

    最大 RADIUS 请求重试次

    将尝试与 RADIUS 服务器通信的次数。此值必须介于 0 和 10 之间。

    RADIUS Status 更改为 Enabled 时,多重验证将可用。

  8. 选择 Enable

支持的 Amazon 企业应用

所有亚马逊企业 IT 应用程序,包括 WorkSpaces、Amazon WorkDocs、Amazon WorkMail、Amazon QuickSight,以及Amazon单点登录和Amazon Web Services Management Console使用时支持Amazon使用 MFA 托管的 Microsoft AD 和 AD Connector。

有关如何使用 Amazon Directory Service 配置对 Amazon 企业应用程序、Amazon Single Sign-On 和 Amazon Web Services Management Console的基本用户访问权限的信息,请参阅启用访问权限Amazon应用程序和服务允许访问Amazon Web Services Management Console使用 AD 凭据

相关Amazon安全博客文章