Aktivieren eines Hardware-TOTP-Tokens (Konsole) - AWS Identitäts- und Zugriffsverwaltung
Erforderliche BerechtigungenAktivieren eines physischen TOTP-Tokens für Ihren eigenen IAM-Benutzer (Konsole)Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)Ersetzen eines physischen MFA-Geräts

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren eines Hardware-TOTP-Tokens (Konsole)

Ein Hardware-TOTP-Token generiert auf der Grundlage des Algorithmus für ein zeitgesteuertes Einmalpasswort (TOTP) einen sechsstelligen numerischen Code. Der Benutzer muss einen gültigen Code vom Gerät eingeben, wenn er während des Anmeldevorgangs dazu aufgefordert wird. Ein MFA-Gerät muss einem Benutzer eindeutig zugewiesen werden. Ein Benutzer kann sich nicht mit dem Code eines anderen Geräts authentifizieren. MFA-Geräte können nicht von Konten oder Benutzern gemeinsam genutzt werden.

Hardware-TOTP-Token und FIDO-Sicherheitsschlüssel sind physische Geräte, die Sie kaufen können. Hardware-MFA-Geräte generieren TOTP-Codes für die Authentifizierung, wenn Sie sich anmelden. AWS Sie sind auf Batterien angewiesen, die im Laufe der Zeit möglicherweise ausgetauscht und neu synchronisiert werden müssen. AWS FIDO-Sicherheitsschlüssel, die Kryptografie mit öffentlichen Schlüsseln verwenden, benötigen keine Batterien und bieten einen nahtlosen Authentifizierungsprozess. Wir empfehlen die Verwendung von FIDO-Sicherheitsschlüsseln aufgrund ihrer Phishing-Resistenz, die eine sicherere Alternative zu TOTP-Geräten darstellt. Darüber hinaus können FIDO-Sicherheitsschlüssel mehrere IAM- oder Root-Benutzer auf demselben Gerät unterstützen, wodurch ihr Nutzen für die Kontosicherheit verbessert wird. Spezifikationen und Kaufinformationen für beide Gerätetypen finden Sie unter Multifaktor-Authentifizierung.

Sie können ein Hardware-TOTP-Token für einen IAM-Benutzer über die AWS Management Console Befehlszeile oder die IAM-API aktivieren. Informationen zum Aktivieren eines MFA-Geräts für Sie finden Sie Root-Benutzer des AWS-Kontos unterAktivieren Sie ein Hardware-TOTP-Token für die Root-Benutzer des AWS-Kontos (Konsole).

Sie können bis zu acht MFA-Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA-Typen bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Bei mehreren MFA-Geräten benötigen Sie nur ein MFA-Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS Management Console oder eine Sitzung über den zu erstellen.

Wichtig

Wir empfehlen Ihnen, mehrere MFA-Geräte für Ihre Benutzer zu aktivieren, damit Sie im Falle eines verlorenen oder unzugänglichen MFA-Geräts weiterhin auf Ihr Konto zugreifen können.

Anmerkung

Wenn Sie das Gerät über die Befehlszeile aktivieren möchten, verwenden Sie aws iam enable-mfa-device. Um das MFA-Gerät mit der IAM-API zu aktivieren, verwenden Sie die Operation EnableMFADevice.

Erforderliche Berechtigungen

Um ein physisches TOTP-Token für Ihren eigenen IAM-Benutzer zu verwalten und dabei gleichzeitig sensible MFA-bezogene Aktionen zu schützen, benötigen Sie die Berechtigungen von der folgenden Richtlinie:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Aktivieren eines physischen TOTP-Tokens für Ihren eigenen IAM-Benutzer (Konsole)

Sie können Ihr eigenes physisches TOTP-Token über die AWS Management Console aktivieren.

Anmerkung

Bevor Sie ein physisches TOTP-Token aktivieren können, benötigen Sie physischen Zugriff auf das Gerät.

So aktivieren Sie ein physisches TOTP-Token für Ihren eigenen IAM-Benutzer (Konsole)

  1. Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.

    Anmerkung

    Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie Melden Sie sich bei einem anderen Konto an Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

    Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

  2. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann Security Credentials (Sicherheitsanmeldeinformationen) aus.

    AWS Management Console Link zu Sicherheitsanmeldedaten

  3. Wählen Sie auf der Registerkarte AWS -IAM-Anmeldeinformationen im Abschnitt Multi-Faktor-Authentifizierung (MFA) die Option MFA-Gerät zuweisen.

  4. Geben Sie im Assistenten einen Device name (Gerätenamen) ein, wählen Sie Hardware TOTP token (Physisches TOTP-Token) und dann Next (Weiter).

  5. Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.

  6. Geben Sie im Feld MFA code 1 (MFA-Code 1) die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.

    IAM-Dashboard, MFA-Gerät

  7. Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld MFA code 2 (MFA-Code 2) ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.

  8. Wählen Sie Add MFA (MFA hinzufügen).

    Wichtig

    Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das Gerät neu synchronisieren.

Das Gerät ist bereit für die Verwendung mit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS Management Console finden Sie unter Verwenden von MFA-Geräten auf Ihrer IAM-Anmeldeseite.

Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)

Sie können ein physisches TOTP-Token über die AWS Management Console für einen anderen IAM-Benutzer aktivieren.

So aktivieren Sie ein physisches TOTP-Token für einen anderen IAM-Benutzer (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers, für den Sie MFA aktivieren möchten.

  4. Wechseln Sie zur Registerkarte Security Credentials. Wählen Sie im Abschnitt Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA)) die Option Assign MFA device (MFA-Gerät zuweisen).

  5. Geben Sie im Assistenten einen Device name (Gerätenamen) ein, wählen Sie Hardware TOTP token (Physisches TOTP-Token) und dann Next (Weiter).

  6. Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.

  7. Geben Sie im Feld MFA code 1 (MFA-Code 1) die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.

    IAM-Dashboard, MFA-Gerät

  8. Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld MFA code 2 (MFA-Code 2) ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.

  9. Wählen Sie Add MFA (MFA hinzufügen).

    Wichtig

    Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das Gerät neu synchronisieren.

Das Gerät ist bereit für die Verwendung mit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS Management Console finden Sie unter Verwenden von MFA-Geräten auf Ihrer IAM-Anmeldeseite.

Ersetzen eines physischen MFA-Geräts

Sie können einem Benutzer mit Ihren und IAM-Benutzern bis zu acht MFA-Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA-Typen gleichzeitig Root-Benutzer des AWS-Kontos zuweisen. Wenn der Benutzer ein Gerät verliert oder aus anderweitigen Gründen das Gerät ersetzen möchte, müssen Sie zunächst das alte Gerät deaktivieren. Anschließend können Sie das neue Gerät für den Benutzer hinzufügen.