本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在中使用多因素身份驗證(MFA) AWS
為了提高安全性,我們建議您設定多重要素驗證 (MFA) 以協助保護您 AWS 的資源。您可以為 AWS 帳戶根使用者 和 IAM 使用者啟用 MFA。當您為根使用者啟用 MFA 時,它僅影響根使用者憑證。帳戶中的 IAM 使用者都有自己憑證的不同身分,並且每個身分都有自己的 MFA 組態。
您可以以目前受支援 MFA 類型的任意組合為您的 AWS 帳戶根使用者 和 IAM 使用者註冊最多八台 MFA 裝置。如需支援的 MFA 類型的詳細資訊,請參閱 IAM 使用者可用的 MFA 類型。對於多個 MFA 裝置,只需要一個 MFA 裝置即可透過該使用者 AWS CLI 身分登入 AWS Management Console 或建立工作階段。
注意
我們建議您要求您的人類使用者在存取時使用臨時登入資料 AWS。你有沒有考慮過使用 AWS IAM Identity Center? 您可以使用 IAM 身分中心集中管理多個存取權限, AWS 帳戶 並從單一位置為使用者提供所有指派帳戶的 MFA 保護的單一登入存取權。使用 IAM Identity Center,您可以在 IAM Identity Center 中建立和管理使用者身分,或輕鬆連線至您現有的 SAML 2.0 相容身分提供者。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的什麼是 IAM Identity Center?。
IAM 使用者可用的 MFA 類型
MFA 增加了額外的安全性,因為它要求用戶在訪問 AWS 網站或服務時從 AWS 支持的 MFA 機制提供唯一的身份驗證,以及他們的常規登錄憑據。 AWS 支援下列 MFA 類型:密碼金鑰和安全金鑰、虛擬驗證器應用程式,以及硬體 TOTP 權杖。
密碼金鑰和安全金鑰
AWS Identity and Access Management 支援 MFA 的密碼金鑰和安全金鑰。根據 FIDO 標準,密碼金鑰使用公開金鑰加密技術來提供比密碼更安全的強式、防網路釣魚驗證。 AWS 支援兩種類型的密碼金鑰:裝置繫結的密碼金鑰 (安全金鑰) 和同步的金鑰。
安全密鑰:這些是物理設備,例如 YubiKey,用作身份驗證的第二個因素。單一安全金鑰可支援多個根使用者帳戶和 IAM 使用者。
同步的密鑰:這些使用提供商(例如谷歌,蘋果,Microsoft 帳戶以及第三方服務(如 1Password,Dashlane 和 Bitwarden)的憑據管理器作為第二個因素。
您可以使用內建的生物特徵驗證器 (例如 Apple MacBooks 上的 Touch ID) 來解鎖憑證管理器並登入 AWS。密碼是由您選擇的供應商使用您的指紋、臉孔或裝置 PIN 碼建立的。您可以跨裝置同步密碼金鑰 AWS,以促進登入,進而增強可用性和可復原性。
IAM 不支援 Windows 您好的本機金鑰登錄。若要建立和使用密碼金鑰,Windows 使用者應該使用跨裝置驗證
FIDO Alliance 維護與 FIDO 規範相容的所有經 FIDO 認證的產品
虛擬驗證器應用程式
虛擬身份驗證器應用程序在手機或其他設備上運行,並模擬物理設備。虛擬驗證器應用程式實作以時間為基礎的一次性密碼
我們強烈建議您在等待硬體的購買核准或等待硬體就定位時,使用虛擬 MFA 裝置。如需可作為虛擬 MFA 裝置使用的一些受支援應用程式的清單,請參閱 M ulti-Factor Authentication (M
硬件 TOTP 令牌
硬體裝置會根據基於時間的一次性密碼 (TOTP
如果您想要使用實體 MFA 裝置,建議您使用安全金鑰作為硬體 TOTP 裝置的替代方案。安全金鑰具有無電池需求、網路釣魚阻力的優點,而且可在單一裝置上支援多個 root 和 IAM 使用者,以增強安全性。
注意
SMS 簡訊式 MFA - AWS 結束了對啟用 SMS 多重要素驗證 (MFA) 的支援。我們建議擁有 IAM 使用者使用 SMS 簡訊型 MFA 的客戶切換至下列其中一種替代方法:金鑰或安全金鑰、虛擬 (軟體型) MFA 裝置或硬體 MFA 裝置。您可以使用已分配的 SMS MFA 裝置來識別帳戶中的使用者。為此,請前往 IAM 主控台,從導覽窗格中選擇 Users (使用者),然後在表的 MFA 列中尋找具有 SMS 的使用者。
主題
