本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置 MFA 设备实施
使用以下步骤来确定您的用户在登录 Amazon Web Services 访问门户时是否必须拥有已注册的 MFA 设备。
如需为您的用户配置 MFA 设备实施
-
在左侧导航窗格中,选择 Settings (设置)。
-
在设置页面上,选择身份验证选项卡。
-
在多重身份验证部分,选择配置。
-
在配置多重身份验证页面的如果用户还没有已注册的 MFA 设备项下,根据您的业务需求选择以下选项之一:
-
要求他们在登录时注册 MFA 设备
这是您首次为 IAM Identity Center 配置 MFA 时的默认设置。如果您希望要求尚未注册 MFA 设备的用户在成功进行密码身份验证后在登录期间自行注册设备,请使用此选项。这样,您就可以使用 MFA 确保贵组织的 Amazon 环境安全,而不必单独注册身份验证设备并将其分发给用户。在自行注册期间,您的用户可以注册您之前启用的可用 适用于 IAM Identity Center 的可用 MFA 类型 中的任何设备。完成注册后,用户可以选择为其新注册的 MFA 设备起一个友好名称,之后 IAM Identity Center 会将用户重定向到其原始目标。如果用户的设备丢失或被盗,您只需将该设备从其账户中移除即可,IAM Identity Center 将要求他们在下次登录时自行注册新设备。
-
要求他们提供电子邮件发送的一次性密码才能登录
如果您想通过电子邮件向用户发送验证码,请使用此选项。由于电子邮件未与特定设备绑定,因此此选项不符合行业标准的多重身份验证的标准。但是,与单独使用密码相比,它确实可以提高安全性。只有当用户尚未注册 MFA 设备时,才会请求电子邮件验证。如果启用了上下文感知身份验证方法,则用户将有机会将接收电子邮件的设备标记为信任设备。之后,用户在使用该设备、浏览器和 IP 地址组合登录时,无需再验证电子邮件代码。
注意
如果您使用 Active Directory 作为 IAM Identity Center 启用的身份源,则电子邮件地址将始终基于 Active Directory
email属性。自定义 Active Directory 属性映射不会覆盖此行为。 -
阻止他们登录
如果您想强制每位用户在登录 Amazon 之前使用 MFA,请使用阻止他们登录选项。
重要
如果您的身份验证方法设置为上下文感知,则用户可以在登录页面上选中这是信任设备复选框。在这种情况下,即使您启用了阻止他们登录设置,也不会提示该用户完成 MFA。如果您想让这些用户收到提示,请将您的身份验证方法更改为始终开启。
-
允许他们登录
使用此选项表明您的用户无需使用 MFA 设备即可登录 Amazon Web Services 访问门户。选择注册 MFA 设备的用户仍会收到完成 MFA 的提示。
-
-
选择 Save changes(保存更改)。