本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM身份中心的可用MFA类型
多因素身份验证 (MFA) 是一种简单而有效的机制,可以增强用户的安全性。用户的第一个因素(他们的密码)是他们记住的秘密,也称为知识因素。其他因素可以是占有因素(您拥有的事物,例如安全密钥)或固有因素(您的身份,例如生物识别扫描)。我们强烈建议您MFA进行配置,为您的账户添加额外的安全层。
IAM身份中心MFA支持以下设备类型。基于浏览器的控制台访问和使用,都支持所有MFA类型 AWS CLI 带IAM身份中心的 v2。
-
FIDO2身份验证器,包括内置的身份验证器和安全密钥
-
你自己的RADIUS MFA实现通过以下方式连接 AWS Managed Microsoft AD
一个用户最多可以将八MFA台设备注册到一个账户,其中包括最多两个虚拟身份验证器应用程序和六个FIDO身份验证器。您还可以将MFA启用设置配置为用户MFA每次登录时都必须使用,或者启用不需要MFA每次登录的受信任设备。有关如何为用户配置MFA类型的更多信息,请参阅选择用户身份验证的MFA类型和配置MFA设备强制执行。
FIDO2身份验证器
FIDO2
AWS 支持两种最常见的FIDO身份验证器外形规格:内置身份验证器和安全密钥。有关最常见的FIDO身份验证器类型的更多信息,请参见下文。
内置身份验证器
多个现代化计算机和移动电话配有内置身份验证器,例如 Macbook 上的 TouchID 或与 Windows Hello 兼容的摄像机。如果您的设备具有FIDO兼容的内置身份验证器,则可以使用指纹、面部或设备 PIN 作为第二个因素。
安全密钥
安全密钥是FIDO兼容的外部硬件身份验证器,您可以通过USBBLE、或购买并连接到您的设备。NFC当系统提示你输入时MFA,你只需使用按键的传感器完成一个手势即可。安全密钥的一些示例包括 YubiKeys 和 Feitian 密钥,最常见的安全密钥会创建设备绑FIDO定凭证。有关所有FIDO经过认证的安全密钥的列表,请参阅FIDO认证产品
密码管理器、密钥提供者和其他FIDO身份验证器
多个第三方提供商支持移动应用程序中的FIDO身份验证,例如密码管理器中的功能、带FIDO模式的智能卡以及其他外形规格。这些FIDO兼容的设备可以与 Ident IAM ity Center 配合使用,但我们建议您在启用此选项之前亲自测试FIDO身份验证器。MFA
注意
虚拟身份验证器应用程序
Authenticator 应用程序本质上是基于一次性密码 (OTP) 的第三方身份验证器。您可以将安装在移动设备或平板电脑上的身份验证器应用程序用作授权MFA设备。第三方身份验证器应用程序必须符合 RFC 6238,这是一种基于标准的时间的一次性密码 (TOTP) 算法,能够生成六位数的身份验证码。
出现提示时MFA,用户必须在显示的输入框中输入身份验证器应用程序中的有效代码。分配给用户的每MFA台设备都必须是唯一的。可为任意给定用户注册两个身份验证器应用程序。
经过测试的身份验证器应用程序
任何TOTP符合要求的应用程序都可与IAM身份中心MFA配合使用。下表列出常见的第三方身份验证器应用程序以供选择。
| 操作系统 | 经过测试的身份验证器应用程序 |
|---|---|
| Android | Authy |
| iOS | Authy |
RADIUS MFA
远程身份验证拨入用户服务 (RADIUS)
您可以使用其中一个RADIUSMFA或MFA在 Ident IAM ity Center 中登录用户门户,但不能同时使用两者。MFAin Id IAM entity Center 是你想要RADIUSMFA的案例的替代方案 AWS 用于访问门户的本机双因素身份验证。
当你MFA在 IAM Identity Center 中启用时,你的用户需要一MFA台设备才能登录 AWS 访问门户。如果您之前使用过 RADIUSMFA,那么MFA在 Ident IAM ity Center 中启用实际上会RADIUSMFA优先于登录的用户 AWS 访问门户。但是,当用户登录所有其他与之配合使用的应用程序时,他们会RADIUSMFA继续受到质疑 AWS Directory Service,例如亚马逊 WorkDocs。
如果您在 Iden MFA t IAM ity Center 控制台上处于禁用状态,并且您已配置为 RADIUS MFA AWS Directory Service,RADIUSMFA治理 AWS 访问门户登录。这意味着,如果MFA禁用,IAM身份中心将回退到RADIUSMFA配置。
