使用 AWS 中的多重要素驗證 (MFA) - AWS Identity and Access Management

使用 AWS 中的多重要素驗證 (MFA)

為了提高安全性,我們建議您設定多重要素驗證 (MFA) 以協助保護您的 AWS 資源。您可以為 IAM 使用者或 AWS 帳戶 根使用者啟用 MFA。當您為根使用者啟用 MFA 時,它僅影響根使用者憑證。帳戶中的 IAM 使用者都有自己憑證的不同身分,並且每個身分都有自己的 MFA 組態。

注意

您是否考慮過使用 AWS IAM Identity Center (successor to AWS Single Sign-On) (IAM Identity Center)? 您可以使用 IAM Identity Center 集中管理多個 AWS 帳戶 的存取,並為使用者提供受 MFA 保護的單一登入存取權,從單一位置存取其所有指派帳戶。使用 IAM Identity Center,您可以在 IAM Identity Center 中建立和管理使用者身分,或輕鬆連線至您現有的 SAML 2.0 相容身分供應商。如需詳細資訊,請參閱 AWS IAM Identity Center (successor to AWS Single Sign-On) 使用者指南中的什麼是 IAM Identity Center?

什麼是 MFA?

MFA 可增加額外的安全,因為它會要求使用者在存取 AWS 網站或服務時,除了標準憑證外,從 AWS 支援的 MFA 機制提供唯一的身分驗證:

  • 虛擬 MFA 裝置。在手機或其他裝置上執行且模擬實體裝置的軟體應用程式。裝置會根據時間同步的一次性密碼演算法產生六位數字代碼。使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。每個指派給使用者的虛擬 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者虛擬 MFA 裝置的代碼來進行身分驗證。由於這些應用程式能在不安全的行動裝置上執行,虛擬 MFA 可能不會提供與 FIDO2 裝置或硬體 MFA 裝置相同層級的安全性。我們強烈建議您在等待硬體的購買核准或等待硬體就定位時,使用虛擬 MFA 裝置。如需可以用來做為虛擬 MFA 裝置的支援應用程式清單,請參閱多重要素驗證。如需使用 AWS 設定虛擬 MFA 裝置的說明,請參閱 啟用虛擬多重要素驗證 (MFA) 裝置 (主控台)

  • FIDO 安全金鑰。一種可讓您插入電腦上 USB 連接埠的裝置。FIDO2 是一種託管於 FIDO Alliance 的開放身分驗證標準。當您啟用 FIDO2 安全性金鑰時,您會透過輸入憑證並點選裝置來登入,而非手動輸入代碼。如需支援的 AWS FIDO2 安全性金鑰資訊,請參閱多重要素驗證。如需使用 AWS 設定 FIDO2 安全性金鑰的說明,請參閱 啟用 FIDO 安全性金鑰 (主控台)

  • 硬體 MFA 裝置。一種會根據時間同步的一次性密碼演算法產生六位數字代碼的硬體裝置。使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。每個指派給使用者的 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者裝置的代碼來進行身分驗證。如需支援的硬體 MFA 裝置資訊,請參閱多重要素驗證。如需使用 AWS 設定硬體 MFA 裝置的說明,請參閱 啟用硬體 MFA 裝置 (主控台)

    注意

    SMS 簡訊式 MFA。AWS 結束了對啟用 SMS 多重要素驗證 (MFA) 的支援。建議擁有使用 SMS 簡訊式 MFA 的 IAM 使用者的客戶改為使用下列任一種替代方式:虛擬 (軟體式) MFA 裝置FIDO 安全性金鑰硬體 MFA 裝置。您可以使用已分配的 SMS MFA 裝置來識別帳戶中的使用者。為此,請前往 IAM 主控台,從導覽窗格中選擇 Users (使用者),然後在表的 MFA 列中尋找具有 SMS 的使用者。