为根用户启用虚拟 MFA 设备(控制台) - AWS Identity and Access Management

为根用户启用虚拟 MFA 设备(控制台)

您可以使用 AWS Management Console 为根用户配置和启用虚拟 MFA 设备。要为 AWS 账户 启用 MFA 设备,您必须使用根用户凭证登录 AWS。

配置和启用虚拟 MFA 设备以用于您的根用户(控制台)
  1. 打开 AWS 管理控制台,使用根用户凭证登录。

    有关说明,请参阅《AWS 登录 User Guide》中的 Sign in to the AWS Management Console as the root user

  2. 在导航栏右侧,选择您的账户名称,然后选择 Security Credentials(安全凭证)。

    导航菜单中的安全凭证
  3. Multi-Factor Authentication (MFA) [多重身份验证(MFA)] 部分中,选择 Assign MFA device(分配 MFA 设备)。

  4. 在向导中,键入设备名称,选择身份验证器应用程序,然后选择下一步

    IAM 将生成并显示虚拟 MFA 设备的配置信息,包括 QR 代码图形。此图形是秘密配置密钥的表示形式,适用于不支持 QR 代码的设备上的手动输入。

  5. 在设备上打开虚拟 MFA 应用程序。

    如果虚拟 MFA 应用程序支持多个虚拟 MFA 设备或账户,请选择相应的选项以创建新的虚拟 MFA 设备或账户。

  6. 要配置应用程序,最简单的方法是使用应用程序扫描 QR 代码。如果您无法扫描代码,则可手动键入配置信息。IAM 生成的二维码和私有配置密钥与您的 AWS 账户 关联,不能用于其他账户。但是,如果您失去对原始 MFA 设备的访问权,可以重新使用它们为您的账户配置新的 MFA 设备。

    • 要使用 QR 代码配置虚拟 MFA 设备,请在向导中,选择 Show QR code (显示 QR 代码)。然后,按照应用程序说明扫描代码。例如,您可能需要选择摄像头图标或选择扫描账户条形码等命令,然后使用设备的摄像头扫描 QR 代码。

    • Set up device(设置设备)向导中,选择 Show secret key(显示私有密钥),然后在您的 MFA 应用程序中键入私有密钥。

    重要

    对二维码或私有配置密钥进行安全备份,或确保为您的账户启用多台 MFA 设备。您最多可以向 AWS 账户根用户 和 IAM 用户注册 8当前支持的 MFA 类型任意组合的 MFA 设备。虚拟 MFA 设备可能变为不可用(例如,如果丢失了承载虚拟 MFA 设备的智能手机)。如果发生这种情况,并且您无法在没有其他 MFA 设备附加到用户的情况下登录账户,甚至无法通过 恢复根用户用户 MFA 设备 登录,则您将无法登录您的账户,您将不得不联系客户服务以删除对该账户的 MFA 保护。

    设备开始生成六位数编码。

  7. 在向导的 MFA code 1(MFA 代码 1)框中,键入虚拟 MFA 设备上当前显示的一次性密码。请等候 30 秒,以便设备生成新的一次性密码。然后在 MFA code 2 (MFA 代码 2) 框中键入第二个一次性密码。选择 Add MFA(添加 MFA)。

    重要

    生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备

设备已准备就绪,可在 AWS 上使用。有关在 AWS Management Console上使用 MFA 的信息,请参阅 已启用 MFA 的登录