将多重身份验证(MFA)用于身份验证是另一项 IAM 最佳实践建议。MFA 是一个额外的安全层,它要求用户在提供用户名和密码以验证其身份后提供额外的身份验证因素。该功能显著增强了安全性,使攻击者更难获得未经授权的访问,即使用户的密码遭到泄露也是如此。MFA 被广泛用作保护在线账户、云服务和其他敏感资源访问的最佳实践。AWS 支持根用户、IAM 用户、IAM Identity Center 的用户、Builder ID 和联合用户的 MFA。为了提高安全性,您可以创建策略,要求在允许用户访问资源或采取特定操作之前配置 MFA,并将这些策略附加到您的 IAM 角色。IAM Identity Center 已预先配置为默认开启 MFA,因此 IAM Identity Center 中的所有用户除了使用用户名和密码外,还必须使用 MFA 登录。
注意
从 2024 年 5 月起,如果尚未启用 MFA,则所有根用户都需要在下次登录时启用 MFA。通过跳过提示,用户最多可以将 MFA 注册推迟 35 天。35 天后,必须启用 MFA 才能继续登录和访问 AWS Management Console。对于成员账户,MFA 设置目前为可选,但计划在 2025 年春季强制执行。
有关更多信息,请参阅 Configure MFA in IAM Identity Center 和 IAM 中的 AWS 多重身份验证。
