在中使用多因素身份驗證（MFA） AWS

為了提高安全性，我們建議您設定多重要素驗證 (MFA) 以協助保護您 AWS 的資源。您可以為 AWS 帳戶根使用者 和 IAM 使用者啟用 MFA。當您為根使用者啟用 MFA 時，它僅影響根使用者憑證。帳戶中的 IAM 使用者都有自己憑證的不同身分，並且每個身分都有自己的 MFA 組態。您可以以目前受支援 MFA 類型的任意組合為您的 AWS 帳戶根使用者 和 IAM 使用者註冊最多八台 MFA 裝置。如需支援的 MFA 類型的詳細資訊，請參閱 什麼是 MFA？。對於多個 MFA 裝置，只需要一個 MFA 裝置即可透過該使用者 AWS CLI 身分登入 AWS Management Console 或建立工作階段。

注意

我們建議您要求您的人類使用者在存取時使用臨時登入資料 AWS。你有沒有考慮過使用 AWS IAM Identity Center？ 您可以使用 IAM 身分中心集中管理多個存取權限， AWS 帳戶 並從單一位置為使用者提供所有指派帳戶的 MFA 保護的單一登入存取權。使用 IAM Identity Center，您可以在 IAM Identity Center 中建立和管理使用者身分，或輕鬆連線至您現有的 SAML 2.0 相容身分提供者。如需詳細資訊，請參閱 AWS IAM Identity Center 使用者指南中的什麼是 IAM Identity Center？。

什麼是 MFA？

MFA 增加了額外的安全性，因為它要求用戶在訪問 AWS 網站或服務時從 AWS 支持的 MFA 機制提供唯一的身份驗證，以及他們的常規登錄憑據。 AWS 支援下列 MFA 類型。

菲多安全

由第三方供應商提供經 FIDO 認證的硬體安全金鑰。

FIDO Alliance 維護與 FIDO 規範相容的所有經 FIDO 認證的產品的清單。FIDO 身分驗證標準以公有金鑰密碼編譯為基礎，提供比密碼更安全的防釣魚強身分驗證。FIDO 安全金鑰使用單一安全金鑰支援多個根帳戶和 IAM 使用者。如需啟用 FIDO 安全金鑰的詳細資訊，請參閱 啟用 FIDO 安全性金鑰 (主控台)。

虛擬 MFA 裝置

在手機或其他裝置上執行並模擬實體裝置的虛擬驗證器應用程式。

虛擬驗證器應用程式實作以時間為基礎的一次性密碼 (TOTP) 算法，並且支援在單台裝置上使用多個權杖。使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。每個指派給使用者的虛擬 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者虛擬 MFA 裝置的代碼來進行身分驗證。由於它們能在不安全的行動裝置上執行，虛擬 MFA 可能不會提供與 FIDO 安全金鑰相同的安全層級。

我們強烈建議您在等待硬體的購買核准或等待硬體就定位時，使用虛擬 MFA 裝置。如需可以用來做為虛擬 MFA 裝置的支援應用程式清單，請參閱多重要素驗證。如需使用設定虛擬 MFA 裝置的指示 AWS，請參閱啟用虛擬多重要素驗證 (MFA) 裝置 (主控台)。

硬件 TOTP 令牌

一種基於時間的一次性密碼（TOTP）算法生成六位數數字代碼的硬件設備。

使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。每個指派給使用者的 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者裝置的代碼來進行身分驗證。如需支援的硬體 MFA 裝置資訊，請參閱多重要素驗證。如需使用 AWS 設定硬體 TOTP 權杖的說明，請參閱 啟用硬體 TOTP 權杖 (主控台)。

我們建議您使用 FIDO 安全金鑰作為硬體 TOTP 裝置的替代品。FIDO 安全金鑰具有無電池需求、網路釣魚阻力的優點，而且它們支援單一裝置上的多個 IAM 或 root 使用者，以增強安全性。

注意

SMS 簡訊式 MFA - AWS 結束了對啟用 SMS 多重要素驗證 (MFA) 的支援。我們建議擁有使用 SMS 簡訊式 MFA 的 IAM 使用者的客戶改為使用下列任一種替代方式：FIDO 安全金鑰、虛擬 (軟體式) MFA 裝置，或硬體 MFA 裝置。您可以使用已分配的 SMS MFA 裝置來識別帳戶中的使用者。為此，請前往 IAM 主控台，從導覽窗格中選擇 Users (使用者)，然後在表的 MFA 列中尋找具有 SMS 的使用者。

主題

• 為中的使用者啟用 MFA 裝置 AWS
• 檢查 MFA 狀態
• 重新同步虛擬及硬體 MFA 裝置
• 停用 MFA 裝置
• MFA 裝置遺失或停止運作時怎麼辦？
• 設定受 MFA 保護的 API 存取
• 範本程式碼：使用多重要素驗證請求憑證