Verwenden von MFA-Geräten auf Ihrer IAM-Anmeldeseite

IAM-Benutzer, die für die Multi-Faktor-Authentifizierung (MFA)-Geräte konfiguriert worden sind, müssen ihre MFA-Geräte zum Anmelden bei der AWS Management Console verwenden. Nachdem der Benutzer seine Anmeldeinformationen eingegeben hat, AWS überprüft er das Konto des Benutzers, um festzustellen, ob MFA für diesen Benutzer erforderlich ist. Die folgenden Themen enthalten Informationen dazu, wie Benutzer die Anmeldung abschließen, wenn MFA erforderlich ist.

Anmeldung mit mehreren aktivierten MFA-Geräten

Wenn sich ein Benutzer AWS Management Console als AWS-Konto Root-Benutzer oder IAM-Benutzer anmeldet und mehrere MFA-Geräte für dieses Konto aktiviert sind, muss er sich nur mit einem MFA-Gerät anmelden. Nachdem sich der Benutzer mit dem Passwort des Benutzers authentifiziert hat, wählt er aus, welchen MFA-Gerätetyp er verwenden möchte, um die Authentifizierung abzuschließen. Anschließend wird der Benutzer aufgefordert, sich mit dem ausgewählten Gerätetyp zu authentifizieren.

Anmelden mit einem FIDO-Sicherheitsschlüssel

Wenn MFA für den Benutzer verlangt ist, wird eine zweite Anmeldeseite angezeigt. Der Benutzer muss auf den FIDO-Sicherheitsschlüssel tippen.

Anmerkung

Google-Chrome-Nutzer sollten keine der verfügbaren Optionen im Popup auswählen, in dem Sie zu Folgendem aufgefordert werden: Verifiy your identity with amazon.com (Verifizieren Sie Ihre Identität mit amazon.com). Sie müssen nur auf den Sicherheitsschlüssel tippen.

Im Gegensatz zu anderen MFA-Geräten können FIDO-Sicherheitsschlüssel ihre Synchronisation nicht verlieren. Administratoren können einen FIDO-Sicherheitsschlüssel deaktivieren, wenn er verloren geht oder beschädigt ist. Weitere Informationen finden Sie unter Deaktivieren von MFA-Geräten (Konsole).

Informationen zu Browsern, die dies unterstützen, WebAuthn und zu FIDO-kompatiblen Geräten, die dies unterstützen, finden Sie unter. AWS Unterstützte Konfigurationen für die Verwendung von Hauptschlüsseln und Sicherheitsschlüsseln

Anmelden mit einem virtuellen MFA-Gerät

Wenn MFA für den Benutzer verlangt ist, wird eine zweite Anmeldeseite angezeigt. Im Feld MFA code (MFA-Code) muss der Benutzer den von der MFA-Anwendung bereitgestellten Zahlencode eingeben.

Wenn der MFA-Code richtig ist, hat der Benutzer Zugriff auf die AWS Management Console. Wenn der Code falsch ist, kann der Benutzer es mit einem anderen Code erneut versuchen.

Ein virtuelles MFA-Gerät kann die Synchronisierung verlieren. Wenn sich ein Benutzer AWS Management Console nach mehreren Versuchen nicht bei der anmelden kann, wird er aufgefordert, das virtuelle MFA-Gerät zu synchronisieren. Die Benutzer können die Anweisungen auf dem Bildschirm befolgen, um das virtuelle MFA-Gerät zu synchronisieren. Informationen darüber, wie Sie ein Gerät im Namen eines Benutzers in Ihrem synchronisieren können AWS-Konto, finden Sie unterResynchronisieren von virtuellen und physischen MFA-Geräten.

Anmelden mit einem Hardware-TOTP-Token

Wenn MFA für den Benutzer verlangt ist, wird eine zweite Anmeldeseite angezeigt. Im Feld MFA code (MFA-Code) muss der Benutzer den vom Hardware-TOTP-Token bereitgestellten Zahlencode eingeben.

Wenn der MFA-Code richtig ist, hat der Benutzer Zugriff auf die AWS Management Console. Wenn der Code falsch ist, kann der Benutzer es mit einem anderen Code erneut versuchen.

Hardware-TOTP-Token können ihre Synchronisation verlieren. Wenn sich ein Benutzer AWS Management Console nach mehreren Versuchen nicht bei der anmelden kann, wird er aufgefordert, das MFA-Token-Gerät zu synchronisieren. Die Benutzer können die Anweisungen auf dem Bildschirm befolgen, um das MFA-Token-Gerät zu synchronisieren. Informationen darüber, wie Sie ein Gerät im Namen eines Benutzers in Ihrem synchronisieren können AWS-Konto, finden Sie unterResynchronisieren von virtuellen und physischen MFA-Geräten.