# 已启用 MFA 的登录
配置了[多重身份验证(MFA)](id_credentials_mfa.md)设备的用户必须使用其 MFA 设备登录 Amazon Web Services 管理控制台。在用户输入其登录凭证后,Amazon 将检查用户的账户以查看该用户是否需要 MFA。
**重要**
如果您通过 Amazon STS [https://docs.amazonaws.cn/STS/latest/APIReference/API_GetFederationToken.html](https://docs.amazonaws.cn/STS/latest/APIReference/API_GetFederationToken.html) API 调用并使用访问密钥和私有密钥凭证直接访问 Amazon Web Services 管理控制台,则不需要 MFA。有关更多信息,请参阅 [使用访问密钥和私有密钥凭证访问控制台](securing_access-keys.md#console-access-security-keys)。
以下主题介绍了用户在需要使用 MFA 时如何完成登录。
**Topics**
+ [多个已启用 MFA 的设备](#console_sign-in-multiple-mfa)
+ [FIDO 安全密钥](#console_sign-in-mfa-fido)
+ [虚拟 MFA 设备](#console_sign-in-mfa-virtual)
+ [硬件 TOTP 令牌](#console_sign-in-mfa-hardware)
## 多个已启用 MFA 的设备
如果用户以 Amazon Web Services 账户 根用户或 IAM 用户的身份登录 Amazon Web Services 管理控制台,且为该账户启用了多个 MFA 设备,则他们只需要使用一台 MFA 设备即可登录。用户使用用户密码进行身份验证后,他们可以选择要使用哪种 MFA 设备类型来完成身份验证。然后,系统会提示用户使用他们选择的设备类型来进行身份验证。
## FIDO 安全密钥
如果 MFA 是用户必须使用的,则会显示另一个登录页面。用户需要点击 FIDO 安全密钥。
**注意**
Google Chrome 用户不应选择弹出窗口中的任何要求 **Verify your identity with amazon.com**(通过 amazon.com 验证您的身份)的可用选项。您只需要点击安全密钥即可。
与其他 MFA 设备不同,FIDO 安全密钥不同步。如果 FIDO 安全密钥丢失或损坏,管理员可以停用它。有关更多信息,请参阅 [停用 MFA 设备(控制台)](id_credentials_mfa_disable.md#deactive-mfa-console)。
有关支持 Amazon 所支持的 WebAuthn 和 FIDO 合规设备的浏览器的信息,请参阅 [使用密钥或安全密钥的受支持配置](id_credentials_mfa_fido_supported_configurations.md)。
## 虚拟 MFA 设备
如果 MFA 是用户必须使用的,则会显示另一个登录页面。在 **MFA code (MFA 代码)** 框中,用户必须输入 MFA 应用程序提供的数字代码。
如果 MFA 代码正确,则用户可以访问 Amazon Web Services 管理控制台。如果代码不正确,则用户可以使用其他代码重试。
虚拟 MFA 设备可能会不同步。如果用户尝试多次后都无法登录 Amazon Web Services 管理控制台,系统将提示用户同步虚拟 MFA 设备。用户可以按照屏幕上的提示同步虚拟 MFA 设备。有关如何在您的 Amazon Web Services 账户 中同步代表用户的设备的信息,请参阅 [重新同步虚拟和硬件 MFA 设备](id_credentials_mfa_sync.md)。
## 硬件 TOTP 令牌
如果 MFA 是用户必须使用的,则会显示另一个登录页面。在 **MFA code**(MFA 代码)框中,用户必须输入硬件 TOTP 令牌提供的数字代码。
如果 MFA 代码正确,则用户可以访问 Amazon Web Services 管理控制台。如果代码不正确,则用户可以使用其他代码重试。
硬件 TOTP 令牌可能会不同步。如果用户尝试多次后都无法登录 Amazon Web Services 管理控制台,系统将提示用户同步 MFA 令牌设备。用户可以根据屏幕上的提示同步 MFA 令牌设备。有关如何在您的 Amazon Web Services 账户 中同步代表用户的设备的信息,请参阅 [重新同步虚拟和硬件 MFA 设备](id_credentials_mfa_sync.md)。