多重身份验证

必备八大控件	实施指导	AWS 资源	AWS Well-Architected 指南
如果组织的用户向其组织面向互联网的服务进行身份验证，则使用多因素身份验证。	主题 4：管理身份: 实施身份联合	要求人类用户与身份提供商联合使用临时 AWS 证书进行访问 对您的 AWS 环境实施临时提升访问权限	SEC02-BP04 依赖集中式身份提供程序
	主题 4：管理身份: 强制执行 MFA	需要为根用户提供 MFA 要求通过 MFA AWS IAM Identity Center 考虑要求对特定于服务的 API 操作进行 MFA	SEC02-BP01 使用强大的登录机制
如果组织的用户向处理、存储或传达其组织敏感数据的面向互联网的第三方服务进行身份验证，则使用多因素身份验证。	参见实现多重身份验证（ACSC 网站）	不适用	不适用
如果组织的用户向处理、存储或传达其组织非敏感数据的面向互联网的第三方服务进行身份验证，则使用多因素身份验证（如果有）。
如果非组织用户向组织面向互联网的服务进行身份验证，则默认情况下会启用多因素身份验证（但用户可以选择退出）。
多因素身份验证用于对系统的特权用户进行身份验证。	主题 4：管理身份: 实施身份联合	要求人类用户与身份提供商联合使用临时 AWS 证书进行访问 对您的 AWS 环境实施临时提升访问权限	SEC02-BP04 依赖集中式身份提供程序
	主题 4：管理身份: 强制执行 MFA	需要为根用户提供 MFA 要求通过 IAM 身份中心进行 MFA 考虑要求对特定于服务的 API 操作进行 MFA	SEC02-BP01 使用强大的登录机制
多因素身份验证用于对访问重要数据存储库的用户进行身份验证。	主题 4：管理身份: 强制执行 MFA	考虑要求对特定于服务的 API 操作进行 MFA	SEC02-BP01 使用强大的登录机制
多因素身份验证可以抵御验证者模仿，它可以使用：用户拥有的和用户知道的东西，或者用户拥有的由用户知道或正在解锁的东西。	参见实现多重身份验证（ACSC 网站）	不适用	不适用
成功和失败的多因素身份验证会被集中记录，防止未经授权的修改和删除，监控泄露迹象，并在检测到网络安全事件时采取行动。	主题 7：集中记录和监控: 启用日志记录 主题 7：集中记录和监控: 集中日志	将 CloudWatch 日志集中到账户中以进行审计和分析（AWS 博客文章） 集中管理 Amazon Inspector 集中管理 Security Hub 在 AWS Config（博客文章）AWS 中创建组织范围的聚合器 集中管理 GuardDuty 考虑使用安全湖 接收来自多个账户的 CloudTrail 日志 向日志存档账户发送日志	SEC04-BP01 配置服务和应用程序日志记录 SEC04-BP02 在标准化位置捕获日志、发现结果和指标