多重身份验证

为了提高安全性，您可以向 AWS 账户和 IAM 用户添加双重身份验证。借助多重身份验证（MFA），当您登录 AWS 管理控制台时，系统会提示您输入用户名和密码（第一重），以及来自您的 AWS MFA 设备的身份验证响应（第二重）。您可以为您的 AWS 账户、在您账户中创建的各个 IAM 用户启用 MFA。您还可以使用 MFA 来控制对 AWS 服务 API 的访问。

例如，您可以定义一个策略，允许完全访问 Amazon EC2 中的所有 AWS API 操作，但明确拒绝访问特定 API 操作，如 StopInstances 和 TerminateInstances – 如果该用户未经过 MFA 身份验证。



        {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “AllowAllActionsForEC2”,
                “Effect”: “Allow”,
                “Action”: “ec2:*”,
                “Resource”: “*”
             },
            {
                “Sid”: “DenyStopAndTerminateWhenMFAIsNotPResent”,
                “Effect”: “Deny”,
                “Action”: [
                    “ec2:StopInstances”,
                    “ec2:TerminateInstances”
               ],
               “Resource”: “*”,
               “Conditions”: {
                   “BoolIfExists”: {“aws:MultiFactorAuthPresent”:false}
                }
            }
       }
}

要为您的 Amazon S3 存储桶添加额外的安全层，您可以配置 MFA 删除，此功能会对更改存储桶的版本控制状态和永久删除对象版本执行额外的身份验证。“MFA 删除”可在您的安全凭证遭到破坏时提供额外的安全性。

要使用“MFA 删除”，您可以使用硬件或虚拟 MFA 设备来生成身份验证代码。有关支持的硬件或虚拟 MFA 设备的列表，请参阅多重身份验证页面。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

通过 AWS STS 创建临时访问令牌

访问 AWS 资源