AWS 账户根用户 的多重身份验证 - AWS Identity and Access Management

AWS 账户根用户 的多重身份验证

多重身份验证 (MFA) 是一种用于增强安全性的简单而有效的机制。第一个因素(密码)是您记住的秘密,也称为知识因素。其他因素可以是拥有因素(您拥有的东西,例如安全密钥)或固有因素(您与生俱来的东西,例如生物识别扫描)。为增强安全性,我们强烈建议您配置多重身份验证(MFA)以帮助保护 AWS 资源。

您可以为 AWS 账户根用户 和 IAM 用户启用 MFA。当您为根用户启用 MFA 时,它仅影响根用户凭证。有关如何为 IAM 用户启用 MFA 的更多信息,请参阅 IAM 中的 AWS 多重身份验证

为您的根用户启用 MFA 之前,请查看并更新您的账户设置和联系信息,以确保您可以访问电子邮件和电话号码。如果您的 MFA 设备丢失、被盗或无法工作,您仍可以通过使用相应的电子邮件和电话号码验证您的身份,以作为根用户登录。要了解如何使用替代的身份验证因素登录,请参阅在 IAM 中恢复受 MFA 保护的身份。要禁用此功能,请联系AWS Support

AWS 为根用户支持以下 MFA 类型:

密钥和安全密钥

AWS Identity and Access Management 对 MFA 支持密钥和安全密钥。基于 FIDO 标准,密钥使用公有密钥加密技术来提供比密码更安全的强大防网络钓鱼身份验证。AWS 支持两种类型的密钥:设备绑定密钥(安全密钥)和同步密钥。

  • 安全密钥:这些是物理设备,例如 YubiKey,用作身份验证的第二个因素。单个安全密钥可以支持多个根用户账户和 IAM 用户。

  • 同步密钥:它们使用来自 Google、Apple、Microsoft 账户等提供商的凭证管理器以及第三方服务(例如 1Password、Dashlane 和 Bitwarden)作为第二个因素。

您可以使用内置生物识别身份验证器(例如,Apple MacBook 上的 Touch ID)来解锁凭证管理器并登录 AWS。密钥是通过您选择的提供商使用您的指纹、面部或设备 PIN 创建的。您可以跨设备同步密钥以方便登录 AWS,从而增强可用性和可恢复性。

IAM 不支持 Windows Hello 的本地密钥注册。若要创建和使用密钥,Windows 用户应使用跨设备身份验证,即使用来自一台设备(例如移动设备)的密钥或硬件安全密钥在另一台设备(如笔记本电脑)上登录。FIDO 联盟维护一份与 FIDO 规范兼容的所有经 FIDO 认证产品的列表。有关启用密钥和安全密钥的更多信息,请参阅 为根用户启用密钥或安全密钥(控制台)

虚拟身份验证器应用程序

虚拟身份验证器应用程序在电话或其他设备上运行,并模拟物理设备。虚拟身份验证器应用程序采用基于时间的一次性密码(TOTP)算法,并支持单个设备上的多个令牌。在登录期间,用户必须在出现提示时从该设备键入有效代码。分配给用户的每个令牌必须是唯一的。用户无法从另一个用户的令牌键入代码来进行身份验证。

我们建议您在等待硬件购买批准或等待硬件到达时使用虚拟 MFA 设备。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表,请参阅多重身份验证(MFA)。有关使用 AWS 设置虚拟 MFA 设备的说明,请参阅为根用户启用虚拟 MFA 设备(控制台)

硬件 TOTP 令牌

硬件设备以基于时间的一次性密码(TOTP)算法为基础生成六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每台 MFA 设备必须是唯一的。用户无法从另一个用户的设备键入代码来进行身份验证。有关受支持硬件 MFA 设备的信息,请参阅多重身份验证(MFA)。有关使用 AWS 设置硬件 TOTP 令牌的说明,请参阅 为 根用户启用硬件 TOTP 令牌(控制台)

如果想使用物理 MFA 设备,我们建议使用 FIDO 安全密钥来代替硬件 TOTP 设备。FIDO 安全密钥具有无需电池、可抵御网络钓鱼的优点,并且支持在单台设备上使用多个根用户和 IAM 用户,从而增强安全性。