启用 FIDO 安全密钥(控制台) - AWS Identity and Access Management
所需权限为您自己的 IAM 用户启用 FIDO 安全密钥(控制台)为其他 IAM 用户启用 FIDO 安全密钥(控制台)替换 FIDO 安全密钥

启用 FIDO 安全密钥(控制台)

FIDO 安全密钥是一种多重身份验证(MFA)设备,可用于保护您的 AWS 资源。您将 FIDO 安全密钥插入到您计算机上的 USB 端口,并使用随后显示的说明启用该密钥。启用后,在出现提示时点击它即可安全完成登录过程。如果您已将 FIDO 安全密钥用于其他服务,它将有一个 AWS 支持的配置(例如,来自 Yubico 的 YubiKey 5 Series),您也可以将其用于 AWS。否则,如果要在 AWS 中使用面向 MFA 的 WebAuthn,您需要购买 FIDO 安全密钥。此外,FIDO 安全密钥可以在同一台设备上支持多个 IAM 用户后根用户,从而增强在保护账户安全方面的实用性。有关这两种设备类型的规格和购买信息,请参阅多重身份验证。有关规格和购买信息,请参阅多重身份验证

FIDO2 是开放身份验证标准,作为 FIDO U2F 的扩展,基于公有密钥加密提供同样高级别的安全性。FIDO2 由 W3C Web 身份验证规范(WebAuthn API)和 FIDO 联盟客户端到身份验证器协议(CTAP,一种应用程序层协议)组成。CTAP 支持客户端或平台(如浏览器或操作系统)与外部身份验证器之间进行通信。当您在 AWS 中启用经 FIDO 认证的身份验证器时,FIDO 安全密钥会创建仅适用于 AWS 的新密钥对。首先,输入您的凭证。出现提示时,点击 FIDO 安全密钥,这会响应 AWS 发出的身份验证质询。要了解有关 FIDO2 标准的更多信息,请参阅 FIDO2 项目

您最多可以向 AWS 账户 根用户和 IAM 用户注册 8当前支持的 MFA 类型任意组合的 MFA 设备。注册多台 MFA 设备后,只需一台 MFA 设备即可以该用户的身份登录 AWS Management Console 或通过 AWS CLI 创建会话。建议注册多个 MFA 设备。例如,您可以注册内置身份验证器,也可以注册保存在物理安全位置的安全密钥。如果您无法使用内置身份验证器,则可以使用已注册的安全密钥。对于身份验证器应用程序,我们还建议您在这些应用程序中启用云备份或同步功能,以避免在设备丢失或损坏身份验证器应用程序时失去对账户的访问权限。

注意

我们建议您要求您的人类用户在访问 AWS 时使用临时凭证。您的用户可以与一个身份提供商联合身份到 AWS中,使用其企业凭证和 MFA 配置进行身份验证。为了管理对 AWS 的访问和业务应用程序,我们建议您使用 IAM Identity Center。有关更多信息,请参阅 IAM Identity Center User Guide(《IAM Identity Center 用户指南》)。

主题

所需权限

要为您自己的 IAM 用户管理 FIDO 安全密钥,同时保护与 MFA 相关的敏感操作,您必须具有以下策略中的权限:

注意

ARN 值是静态值,不用于指示注册身份验证器所使用的协议。我们已弃用 U2F,因此所有新的实现都使用 WebAuthn。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

为您自己的 IAM 用户启用 FIDO 安全密钥(控制台)

您只能从 AWS Management Console 为您自己的 IAM 用户启用 FIDO 安全密钥,而不能从 AWS CLI 或 AWS API 启用。

注意

在启用 FIDO 安全密钥之前,您必须拥有对设备的物理访问权限。

注意

您不应选择 Google Chrome 弹出窗口中的任何要求 Verify your identity with amazon.com(通过 amazon.com 验证您的身份)的可用选项。您只需要点击安全密钥即可。

为您自己的 IAM 用户启用 FIDO 安全密钥(控制台)

  1. 使用 AWS 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台

    注意

    为方便起见,AWS登录页面使用浏览器 Cookie 记住您的 IAM 用户名和账户信息。如果您之前以其他用户身份登录,请选择页面底部的 Sign-in to a different account(登录到其他账户)以返回主登录页面。在此处,您可以输入要重新导向到您账户 IAM 用户登录页面的 AWS 账户 ID 或账户别名。

    要获取 AWS 账户 ID,请联系管理员。

  2. 在右上角的导航栏中,选择您的用户名,然后选择 Security credentials(安全凭证)。

    AWS Management Console 安全凭证链接

  3. AWS IAM 凭证选项卡的多重身份验证(MFA)部分中,选择分配 MFA 设备

  4. 在向导中,键入 Device name(设备名称),选择 Security Key(安全密钥),然后选择 Next(下一步)。

  5. 将 FIDO 安全密钥插入计算机的 USB 端口。

    FIDO 安全密钥已插入 USB 端口

  6. 点击 FIDO 安全密钥。

FIDO 安全密钥现已就绪,可用于 AWS。有关在 AWS Management Console上使用 MFA 的信息,请参阅 使用 MFA 设备访问您的 IAM 登录页面

为其他 IAM 用户启用 FIDO 安全密钥(控制台)

您只能从 AWS Management Console 为其他 IAM 用户启用 FIDO 安全密钥,而不能从 AWS CLI 或 AWS API 启用。

为其他 IAM 用户启用 FIDO 安全密钥(控制台)

  1. 登录 AWS Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择用户

  3. 选择要为其启用 MFA 的用户的名称。

  4. 选择 Security Credentials (安全证书) 选项卡。在 Multi-factor authentication (MFA) [多重身份验证(MFA)] 部分中,选择 Assign MFA device(分配 MFA 设备)。

  5. 在向导中,键入 Device name(设备名称),选择 Security Key(安全密钥),然后选择 Next(下一步)。

  6. 将 FIDO 安全密钥插入计算机的 USB 端口。

    FIDO 安全密钥已插入 USB 端口

  7. 点击 FIDO 安全密钥。

FIDO 安全密钥现已就绪,可用于 AWS。有关在 AWS Management Console上使用 MFA 的信息,请参阅 使用 MFA 设备访问您的 IAM 登录页面

替换 FIDO 安全密钥

您一次最多可以向 AWS 账户根用户 和 IAM 用户分配 8 台当前支持的 MFA 类型任意组合的 MFA 设备。如果用户丢失 FIDO 身份验证器或者出于某种原因需要进行替换,必须先停用旧的 FIDO 身份验证器。然后,您可以为用户添加新 MFA 设备。

如果您无权访问新的 FIDO 安全密钥,则可以启用新的虚拟 MFA 设备或硬件 TOTP 令牌。有关说明,请参阅以下章节之一: