# 在 IAM 中恢复受 MFA 保护的身份
<a name="id_credentials_mfa_lost-or-broken"></a>

若[虚拟 MFA 设备](id_credentials_mfa_enable_virtual.md)或[硬件 TOTP 令牌](id_credentials_mfa_enable_physical.md)似乎运行正常，但您却无法使用它访问 Amazon 资源，则可能是与 Amazon 不同步所导致的。有关同步虚拟 MFA 设备或硬件 MFA 设备的信息，请参阅[重新同步虚拟和硬件 MFA 设备](id_credentials_mfa_sync.md)。[FIDO 安全密钥](id_credentials_mfa_enable_fido.md)不同步。

如果 Amazon Web Services 账户根用户 的 [MFA 设备](id_credentials_mfa.md)丢失、损坏或无法工作，您可以恢复账户访问权限。IAM 用户必须与管理员联系，才能将装置停用。

**重要**  
建议您激活多台 MFA 设备。注册多台 MFA 设备有助于确保在设备丢失或损坏时继续访问。您的 Amazon Web Services 账户根用户 和 IAM 用户最多可以注册 8 台任何类型的 MFA 设备。

## 先决条件 – 使用其他 MFA 设备
<a name="mfa-lost-or-broken-prerequisites"></a>

如果您的[多重身份验证（MFA）设备](id_credentials_mfa.md)丢失、损坏或无法正常工作，您可以使用已注册到同一根用户或 IAM 用户的另一台 MFA 设备登录。

**要使用其他 MFA 设备登录**

1. 使用您的 Amazon Web Services 账户 ID 或账户别名和密码登录 [Amazon Web Services 管理控制台](url-comsole-domain;iam)。

1. 在**需要其他验证**页面或**多重身份验证**页面上，选择**尝试另一种 MFA 方法**。

1. 使用您选择的 MFA 设备类型进行身份验证。

1. 根据您是否使用备用 MFA 设备成功登录，下一步会有所不同。
   + 如果您已成功登录，则可以 [重新同步虚拟和硬件 MFA 设备](id_credentials_mfa_sync.md)，这可能会解决问题。如果 MFA 设备丢失或损坏，则您可以将其停用。有关停用任何 MFA 设备类型的说明，请参阅[停用 MFA 设备](id_credentials_mfa_disable.md)。
   + 如果您无法使用 MFA 登录，则请使用 [恢复根用户用户 MFA 设备](#root-mfa-lost-or-broken) 或 [恢复 IAM 用户 MFA 设备](#iam-user-mfa-lost-or-broken) 中的步骤恢复受 MFA 保护的身份。



## 恢复根用户用户 MFA 设备
<a name="root-mfa-lost-or-broken"></a>

如果您无法使用 MFA 登录，则可以使用其他身份验证方法登录，方法是使用在您的账户中注册的电子邮件和主要联系电话号码验证您的身份。

作为根用户使用替代的身份验证因素登录之前，确认您能够访问与您的账户关联的电子邮件和主要联系人电话号码。如果您需要更新主要联系人电话号码，则请以具有*管理员*访问权限的 IAM 用户身份而非根用户身份登录。有关更新账户联系信息的其他说明，请参阅《*Amazon Billing 用户指南*》中的[编辑联系信息](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-update-contact-primary.html)。如果您无权访问电子邮件和主要联系人电话号码，则必须联系 [Amazon Web Services 支持](https://support.aws.amazon.com/#/contacts/aws-mfa-support)。

**重要**  
我们建议您不断更新与根用户关联的电子邮件地址和联系电话号码，以便成功恢复账户。有关更多信息，请参阅《Amazon 账户管理 参考指南》中的 [更新 Amazon Web Services 账户的主要联系人](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-update-contact-primary.html)**。

**使用替代的身份验证因素作为 Amazon Web Services 账户根用户登录**

1.  选择**根用户**并输入您的 Amazon Web Services 账户 电子邮件地址，以账户拥有者身份登录。[Amazon Web Services 管理控制台](https://console.amazonaws.cn/)在下一页上，输入您的密码。

1. 在**需要其他验证**页面上，选择要用于身份验证的 MFA 方法，然后选择**下一步**。
**注意**  
可能会显示替代文本，例如 **Sign in using MFA**（使用 MFA 登录）、**Troubleshoot your authentication device**（对身份验证设备进行故障排除）或 **Troubleshoot MFA**（对 MFA 进行故障排除），但其功能均相同。如果您无法使用替代身份验证因素验证您的账户电子邮件地址和主要联系人电话号码，则请与 [Amazon Web Services 支持](https://support.aws.amazon.com/#/contacts/aws-mfa-support) 联系以停用您的 MFA 设备。

1. 根据您使用的 MFA 类型，您将看到不同的页面，但是 **MFA 问题排查**选项的功能相同。在**需要其他验证**页面或**多重身份验证**页面上，选择 **MFA 问题排查**。

1. 如果需要，请再次键入您的密码，然后选择 **Sign in**。

1. 在**身份验证设备问题排查**页面的**使用替代身份验证因素登录**部分中，选择**使用替代因素登录**。

1. **使用替代身份验证因素登录**页面上，通过验证电子邮件地址完成账户身份验证，然后选择**发送验证电子邮件**。

1. 检查与您的 Amazon Web Services 账户 关联的电子邮件中有无来自 Amazon Web Services（recover-mfa-no-reply@verify.signin.aws）的邮件。按照电子邮件中的指导进行操作。

   如果您没有在账户中看到该电子邮件，请检查垃圾邮件文件夹，或者返回到浏览器并选择 **Resend the email**。

1. 在验证您的电子邮件地址后，您可以继续验证您的账户的身份。要验证您的主要联系人电话号码，请选择 **Call me now**（立即呼叫我）。

1. 接听 Amazon 打来的电话，在听到提示时，在手机键盘上输入从 Amazon 网站获得的 6 位数号码。

   如果您没有接到 Amazon 打来的电话，请选择 **Sign in (登录)** 以再次登录到控制台并重新开始。或者，请参阅[多重身份验证（MFA）设备丢失或无法使用](https://support.aws.amazon.com/#/contacts/aws-mfa-support)联系支持人员以获取帮助。

1. 在验证您的电话号码后，您可以通过选择 **Sign in to the console** 登录到您的账户。

1. 下一步取决于您使用的 MFA 的类型：
   + 对于虚拟 MFA 设备，请从您的设备中删除账户。然后，转至 [Amazon Security Credentials](https://console.amazonaws.cn/iam/home?#security_credential) 页面并删除旧的 MFA 虚拟设备实体，然后再创建一个新的。
   + 对于 FIDO 安全密钥，请转至 [Amazon Security Credentials](https://console.amazonaws.cn/iam/home?#security_credential)（安全凭证）页面并停用旧 FIDO 密钥然后再启用一个新密钥。
   + 对于硬件 TOTP 令牌，请联系第三方提供商以帮助您修复或更换设备。您可以继续使用替代的身份验证因素登录，直到您收到新设备为止。在您拥有新的硬件 MFA 设备后，请转至 [Amazon 安全凭证](https://console.amazonaws.cn/iam/home?#security_credential)页面并删除旧的 MFA 设备。
**注意**  
不必将丢失或被盗的 MFA 设备替换为相同类型的设备。例如，如果 FIDO 安全密钥损坏，您订购了一个新的密钥，则可以使用虚拟 MFA 或硬件 TOTP 令牌，直到新 FIDO 安全密钥到达。

**重要**  
如果您的 MFA 设备丢失或被盗，则请在登录并建立替换 MFA 设备后更改您的根用户密码。攻击者可能窃取了身份验证设备，也可能拥有您当前的密码。有关更多信息，请参阅 [更改Amazon Web Services 账户根用户密码](root-user-password.md)。

## 恢复 IAM 用户 MFA 设备
<a name="iam-user-mfa-lost-or-broken"></a>

如果您是无法使用 MFA 登录的 IAM 用户，则无法自行恢复 MFA 设备。您必须与管理员联系，才能将设备停用。然后，您可以启用新设备。

**作为 IAM 用户获取有关 MFA 设备的帮助**

1. 请联系 Amazon 管理员或其他为您提供 IAM 用户的用户名和密码的相关人员。管理员必须停用 MFA 设备 (如[停用 MFA 设备](id_credentials_mfa_disable.md)中所述)，以便您能够登录。

1. 下一步取决于您使用的 MFA 的类型：
   + 对于虚拟 MFA 设备，请从您的设备中删除账户。然后，启用虚拟设备，如[在 Amazon Web Services 管理控制台 中分配虚拟 MFA 设备](id_credentials_mfa_enable_virtual.md)中所述。
   + 对于 FIDO 安全密钥，请联系第三方提供商帮助您更换设备。当您收到新的 FIDO 安全密钥时，请将其启用，如 [在 Amazon Web Services 管理控制台 中分配密钥或安全密钥](id_credentials_mfa_enable_fido.md) 中所述。
   + 对于硬件 TOTP 令牌，请联系第三方提供商以帮助您修复或更换设备。在您拥有新的物理 MFA 设备后，请启用设备，如[在 Amazon Web Services 管理控制台 中分配硬件 TOTP 令牌](id_credentials_mfa_enable_physical.md)中所述。
**注意**  
不必将丢失或被盗的 MFA 设备替换为相同类型的设备。您最多可以拥有 8 台任意组合的 MFA 设备。例如，如果 FIDO 安全密钥损坏，您订购了一个新的密钥，则可以使用虚拟 MFA 或硬件 TOTP 令牌，直到新 FIDO 安全密钥到达。

1. 如果您的 MFA 设备丢失或被盗，还请更改密码，以防攻击者盗走您的身份验证设备及还可能拥有您当前的密码。有关更多信息，请参阅 [管理 IAM 用户的密码](id_credentials_passwords_admin-change-user.md)。