适用于 IAM Identity Center 的可用 MFA 类型 - Amazon IAM Identity Center
FIDO2 身份验证器虚拟身份验证器应用程序RADIUS MFA
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 IAM Identity Center 的可用 MFA 类型

多重身份验证(MFA)是一种简单而有效的机制,可以增强用户的安全性。用户的第一个因素(他们的密码)是他们记住的秘密,也称为知识因素。其他因素可以是占有因素(您拥有的事物,例如安全密钥)或固有因素(您的身份,例如生物识别扫描)。强烈建议您配置 MFA,以便为您的账户额外添加一层保护。

IAM Identity Center MFA 支持以下设备类型。所有 MFA 类型均支持基于浏览器的控制台访问以及搭配使用 Amazon CLI v2 和 IAM Identity Center。

一个用户最多可以将台 MFA 设备注册到一个账户,其中包括最多两个虚拟身份验证器应用程序和六个 FIDO 身份验证器。您还可以将 MFA 启用设置配置为在用户每次登录时都需要 MFA,或者启用不需要在每次登录时都使用 MFA 的信任设备。有关如何为您的用户配置 MFA 类型的更多信息,请参阅选择 MFA 类型配置 MFA 设备实施

FIDO2 身份验证器

FIDO2 标准包含 CTAP2 和 WebAuthn,基于公有密钥加密。FIDO 凭证具有防网络钓鱼功能,因为它们是创建凭证的网站所独有的,例如 Amazon。

Amazon 支持 FIDO 身份验证器的两种最常见外形规格:内置身份验证器和安全密钥。有关最常见的 FIDO 身份验证器类型的更多信息,请参阅下文。

内置身份验证器

多个现代化计算机和移动电话配有内置身份验证器,例如 Macbook 上的 TouchID 或与 Windows Hello 兼容的摄像机。如果您的设备具有兼容 FIDO 的内置身份验证器,则可以使用指纹、面部或设备 PIN 码作为第二个因素。

安全密钥

安全密钥是兼容 FIDO 的外部硬件身份验证器,您可以通过 USB、BLE 或 NFC 购买并连接到您的设备。您收到 MFA 的提示时,只需使用密钥的传感器完成手势即可。安全密钥的一些示例包括 YubiKeys 和 Feitian 密钥,最常见的安全密钥会创建绑定设备的 FIDO 凭证。有关所有经过 FIDO 认证的安全密钥的列表,请参阅经过 FIDO 认证的产品

密码管理器、密钥提供商和其他 FIDO 身份验证器

多个第三方提供商支持移动应用程序中的 FIDO 身份验证,例如密码管理器中的功能、带有 FIDO 模式的智能卡以及其他外形规格。这些兼容 FIDO 的设备可以与 IAM Identity Center 配合使用,但我们建议您在为 MFA 启用此选项之前亲自测试 FIDO 身份验证器。

注意

有些 FIDO 身份验证器可以创建可发现的 FIDO 凭证,称为密钥。密钥可以绑定到创建密钥的设备,也可以同步并备份到云端。例如,您可以在支持的 Macbook 上使用 Apple Touch ID 注册密钥,然后按照登录时屏幕上的提示使用 Google Chrome,在 iCloud 中使用密钥从 Windows 笔记本电脑登录网站。有关哪些设备支持可同步密钥以及操作系统和浏览器之间当前密钥互操作性的更多信息,请参阅 passkeys.dev 上的设备支持资源,该资源由 FIDO 联盟和万维网联盟 (W3C) 负责维护。

虚拟身份验证器应用程序

身份验证器应用程序本质上是基于一次性密码(OTP)的第三方身份验证器。您可将安装在移动设备或平板电脑上的身份验证器应用程序用作授权的 MFA 设备。第三方身份验证器应用程序必须符合 RFC 6238,这是一种标准的基于时间的一次性密码(TOTP)算法,且能够生成六位数身份验证码。

提示进行多重身份验证时,用户必须在显示的输入框中输入来自其身份验证器应用程序的有效代码。分配给用户的每台 MFA 设备必须是唯一的。可为任意给定用户注册两个身份验证器应用程序。

经过测试的身份验证器应用程序

任何符合 TOTP 标准的应用程序都可使用 IAM Identity Center MFA。下表列出常见的第三方身份验证器应用程序以供选择。

操作系统 经过测试的身份验证器应用程序
Android Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator
iOS Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator

RADIUS MFA

远程身份验证拨入用户服务 (RADIUS) 是一种行业标准客户端/服务器协议,提供身份验证、授权和账户管理,因此用户能够连接到网络服务。Amazon Directory Service 包括一个 RADIUS 客户端,此客户端将连接到您在其上已实现 MFA 解决方案的 RADIUS 服务器。有关更多信息,请参阅为 Amazon Managed Microsoft AD 启用多重身份验证

您可以在 IAM Identity Center 中使用 RADIUS MFA 或 MFA 来登录用户门户,但不能同时使用两者。如果您想使用 Amazon 原生双重因素身份验证来访问门户,IAM Identity Center 中的 MFA 可以作为 RADIUS MFA 的替代方案。

您在 IAM Identity Center 中启用 MFA 时,您的用户需要一台 MFA 设备才能登录 Amazon Web Services 访问门户。如果您之前使用 RADIUS MFA,则在 IAM Identity Center 启用 MFA 实际上会覆盖登录 Amazon Web Services 访问门户的用户的 RADIUS MFA。但是,当用户登录所有其他可与 Amazon Directory Service 配合使用的应用程序(例如 Amazon WorkDocs)时,RADIUS MFA 会继续向用户发出挑战。

如果您的 MFA 在 IAM Identity Center 控制台上被禁用,并且您已通过 Amazon Directory Service 配置 RADIUS MFA,则 RADIUS MFA 将控制 Amazon Web Services 访问门户的登录。这意味着,如果禁用 MFA,IAM Identity Center 将回退到 RADIUS MFA 配置。