为根用户启用虚拟 MFA 设备(控制台)
您可以使用 AWS Management Console 为根用户配置和启用虚拟 MFA 设备。要为 AWS 账户 启用 MFA 设备,您必须使用根用户凭证登录 AWS。
配置和启用虚拟 MFA 设备以用于您的根用户(控制台)
-
打开 AWS 管理控制台
,使用根用户凭证登录。 有关说明,请参阅《AWS 登录 User Guide》中的 Sign in to the AWS Management Console as the root user。
-
在导航栏右侧,选择您的账户名称,然后选择 Security Credentials(安全凭证)。
-
在 Multi-Factor Authentication (MFA) [多重身份验证(MFA)] 部分中,选择 Assign MFA device(分配 MFA 设备)。
-
在向导中,键入设备名称,选择身份验证器应用程序,然后选择下一步。
IAM 将生成并显示虚拟 MFA 设备的配置信息,包括 QR 代码图形。此图形是秘密配置密钥的表示形式,适用于不支持 QR 代码的设备上的手动输入。
-
在设备上打开虚拟 MFA 应用程序。
如果虚拟 MFA 应用程序支持多个虚拟 MFA 设备或账户,请选择相应的选项以创建新的虚拟 MFA 设备或账户。
-
要配置应用程序,最简单的方法是使用应用程序扫描 QR 代码。如果您无法扫描代码,则可手动键入配置信息。IAM 生成的二维码和私有配置密钥与您的 AWS 账户 关联,不能用于其他账户。但是,如果您失去对原始 MFA 设备的访问权,可以重新使用它们为您的账户配置新的 MFA 设备。
-
要使用 QR 代码配置虚拟 MFA 设备,请在向导中,选择 Show QR code (显示 QR 代码)。然后,按照应用程序说明扫描代码。例如,您可能需要选择摄像头图标或选择扫描账户条形码等命令,然后使用设备的摄像头扫描 QR 代码。
-
在 Set up device(设置设备)向导中,选择 Show secret key(显示私有密钥),然后在您的 MFA 应用程序中键入私有密钥。
重要
对二维码或私有配置密钥进行安全备份,或确保为您的账户启用多台 MFA 设备。您最多可以向 AWS 账户根用户 和 IAM 用户注册 8 台当前支持的 MFA 类型
任意组合的 MFA 设备。虚拟 MFA 设备可能变为不可用(例如,如果丢失了承载虚拟 MFA 设备的智能手机)。如果发生这种情况,并且您无法在没有其他 MFA 设备附加到用户的情况下登录账户,甚至无法通过 恢复根用户用户 MFA 设备 登录,则您将无法登录您的账户,您将不得不联系客户服务 以删除对该账户的 MFA 保护。 设备开始生成六位数编码。
-
-
在向导的 MFA code 1(MFA 代码 1)框中,键入虚拟 MFA 设备上当前显示的一次性密码。请等候 30 秒,以便设备生成新的一次性密码。然后在 MFA code 2 (MFA 代码 2) 框中键入第二个一次性密码。选择 Add MFA(添加 MFA)。
重要
生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步设备。
设备已准备就绪,可在 AWS 上使用。有关在 AWS Management Console上使用 MFA 的信息,请参阅 已启用 MFA 的登录。