Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktivieren eines Hardware-TOTP-Tokens (Konsole)
Ein Hardware-TOTP-Token generiert auf der Grundlage des Algorithmus für ein zeitgesteuertes Einmalpasswort (TOTP) einen sechsstelligen numerischen Code. Der Benutzer muss einen gültigen Code vom Gerät eingeben, wenn er während des Anmeldevorgangs dazu aufgefordert wird. Ein MFA-Gerät muss einem Benutzer eindeutig zugewiesen werden. Ein Benutzer kann sich nicht mit dem Code eines anderen Geräts authentifizieren. MFA-Geräte können nicht von Konten oder Benutzern gemeinsam genutzt werden.
Hardware-TOTP-Token und FIDO-Sicherheitsschlüssel sind physische Geräte, die Sie kaufen können. Hardware-MFA-Geräte generieren TOTP-Codes für die Authentifizierung, wenn Sie sich anmelden. AWS Sie sind auf Batterien angewiesen, die im Laufe der Zeit möglicherweise ausgetauscht und neu synchronisiert werden müssen. AWS FIDO-Sicherheitsschlüssel, die Kryptografie mit öffentlichen Schlüsseln verwenden, benötigen keine Batterien und bieten einen nahtlosen Authentifizierungsprozess. Wir empfehlen die Verwendung von FIDO-Sicherheitsschlüsseln aufgrund ihrer Phishing-Resistenz, die eine sicherere Alternative zu TOTP-Geräten darstellt. Darüber hinaus können FIDO-Sicherheitsschlüssel mehrere IAM- oder Root-Benutzer auf demselben Gerät unterstützen, wodurch ihr Nutzen für die Kontosicherheit verbessert wird. Spezifikationen und Kaufinformationen für beide Gerätetypen finden Sie unter Multifaktor-Authentifizierung
Sie können ein Hardware-TOTP-Token für einen IAM-Benutzer über die AWS Management Console Befehlszeile oder die IAM-API aktivieren. Informationen zum Aktivieren eines MFA-Geräts für Sie finden Sie Root-Benutzer des AWS-Kontos unterAktivieren Sie ein Hardware-TOTP-Token für die Root-Benutzer des AWS-Kontos (Konsole).
Sie können bis zu acht MFA-Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA-Typen
Wichtig
Wir empfehlen Ihnen, mehrere MFA-Geräte für Ihre Benutzer zu aktivieren, damit Sie im Falle eines verlorenen oder unzugänglichen MFA-Geräts weiterhin auf Ihr Konto zugreifen können.
Anmerkung
Wenn Sie das Gerät über die Befehlszeile aktivieren möchten, verwenden Sie aws iam
enable-mfa-device
. Um das MFA-Gerät mit der IAM-API zu aktivieren, verwenden Sie die Operation EnableMFADevice
.
Themen
Erforderliche Berechtigungen
Um ein physisches TOTP-Token für Ihren eigenen IAM-Benutzer zu verwalten und dabei gleichzeitig sensible MFA-bezogene Aktionen zu schützen, benötigen Sie die Berechtigungen von der folgenden Richtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }
Aktivieren eines physischen TOTP-Tokens für Ihren eigenen IAM-Benutzer (Konsole)
Sie können Ihr eigenes physisches TOTP-Token über die AWS Management Console aktivieren.
Anmerkung
Bevor Sie ein physisches TOTP-Token aktivieren können, benötigen Sie physischen Zugriff auf das Gerät.
So aktivieren Sie ein physisches TOTP-Token für Ihren eigenen IAM-Benutzer (Konsole)
-
Anmerkung
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie Melden Sie sich bei einem anderen Konto an Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.
Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.
-
Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann Security Credentials (Sicherheitsanmeldeinformationen) aus.
-
Wählen Sie auf der Registerkarte AWS -IAM-Anmeldeinformationen im Abschnitt Multi-Faktor-Authentifizierung (MFA) die Option MFA-Gerät zuweisen.
-
Geben Sie im Assistenten einen Device name (Gerätenamen) ein, wählen Sie Hardware TOTP token (Physisches TOTP-Token) und dann Next (Weiter).
-
Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.
-
Geben Sie im Feld MFA code 1 (MFA-Code 1) die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.
-
Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld MFA code 2 (MFA-Code 2) ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.
-
Wählen Sie Add MFA (MFA hinzufügen).
Wichtig
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das Gerät neu synchronisieren.
Das Gerät ist bereit für die Verwendung mit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS Management Console finden Sie unter Verwenden von MFA-Geräten auf Ihrer IAM-Anmeldeseite.
Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)
Sie können ein physisches TOTP-Token über die AWS Management Console für einen anderen IAM-Benutzer aktivieren.
So aktivieren Sie ein physisches TOTP-Token für einen anderen IAM-Benutzer (Konsole)
Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Klicken Sie im Navigationsbereich auf Users (Benutzer).
-
Wählen Sie den Namen des Benutzers, für den Sie MFA aktivieren möchten.
-
Wechseln Sie zur Registerkarte Security Credentials. Wählen Sie im Abschnitt Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA)) die Option Assign MFA device (MFA-Gerät zuweisen).
-
Geben Sie im Assistenten einen Device name (Gerätenamen) ein, wählen Sie Hardware TOTP token (Physisches TOTP-Token) und dann Next (Weiter).
-
Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.
-
Geben Sie im Feld MFA code 1 (MFA-Code 1) die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.
-
Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld MFA code 2 (MFA-Code 2) ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.
-
Wählen Sie Add MFA (MFA hinzufügen).
Wichtig
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das Gerät neu synchronisieren.
Das Gerät ist bereit für die Verwendung mit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS Management Console finden Sie unter Verwenden von MFA-Geräten auf Ihrer IAM-Anmeldeseite.
Ersetzen eines physischen MFA-Geräts
Sie können einem Benutzer mit Ihren und IAM-Benutzern bis zu acht MFA-Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA-Typen
-
Um ein gegenwärtig mit einem Benutzer verknüpftes Gerät zu deaktivieren, siehe Deaktivieren von MFA-Geräten.
-
Um ein physisches TOTP-Ersatztoken für einen IAM-Benutzer hinzuzufügen, führen Sie die in der Anleitung Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole) weiter oben in diesem Thema beschriebenen Schritte.
-
Gehen Sie wie im Verfahren weiter oben in diesem Thema beschrieben vor Root-Benutzer des AWS-Kontos, um ein Ersatz-Hardware-TOTP-Token für das hinzuzufügenAktivieren Sie ein Hardware-TOTP-Token für die Root-Benutzer des AWS-Kontos (Konsole).