使用 AWS 中的多重要素驗證 (MFA) - AWS Identity and Access Management

使用 AWS 中的多重要素驗證 (MFA)

為了提高安全性,我們建議您設定多重要素驗證 (MFA) 以協助保護您的 AWS 資源。您可以為 IAM 使用者或 AWS 帳戶 根使用者啟用 MFA。當您為根使用者啟用 MFA 時,它僅影響根使用者憑證。帳戶中的 IAM 使用者都有自己憑證的不同身分,並且每個身分都有自己的 MFA 組態。

什麼是 MFA?

MFA 可增加額外的安全,因為它會要求使用者在存取 AWS 網站或服務時,除了標準憑證外,從 AWS 支援的 MFA 機制提供唯一的身分驗證:

  • 虛擬 MFA 裝置。在手機或其他裝置上執行且模擬實體裝置的軟體應用程式。裝置會根據時間同步的一次性密碼演算法產生六位數字代碼。使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。每個指派給使用者的虛擬 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者虛擬 MFA 裝置的代碼來進行身分驗證。由於這些應用程式能在不安全的行動裝置上執行,虛擬 MFA 可能不會提供與 U2F 裝置或硬體 MFA 裝置相同層級的安全性。我們強烈建議您在等待硬體的購買核准或等待硬體就定位時,使用虛擬 MFA 裝置。如需可以用來做為虛擬 MFA 裝置的支援應用程式清單,請參閱多重要素驗證。如需使用 AWS 設定虛擬 MFA 裝置的說明,請參閱 啟用虛擬多重要素驗證 (MFA) 裝置 (主控台)

  • U2F 安全性金鑰。一種可讓您插入電腦上 USB 連接埠的裝置。U2F 是一種託管於 FIDO Alliance 的開放身分驗證標準。當您啟用 U2F 安全性金鑰時,您會透過輸入憑證並點選裝置來登入,而非手動輸入代碼。如需支援的 AWS U2F 安全性金鑰資訊,請參閱多重要素驗證。如需使用 AWS 設定 U2F 安全性金鑰的說明,請參閱 啟用 U2F 安全性金鑰 (主控台)

  • 硬體 MFA 裝置。一種會根據時間同步的一次性密碼演算法產生六位數字代碼的硬體裝置。使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。每個指派給使用者的 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者裝置的代碼來進行身分驗證。如需支援的硬體 MFA 裝置資訊,請參閱多重要素驗證。如需使用 AWS 設定硬體 MFA 裝置的說明,請參閱 啟用硬體 MFA 裝置 (主控台)

  • SMS 簡訊式 MFA。一種 MFA 類型,其中 IAM 使用者設定包括使用者 SMS 相容行動裝置的手機號碼。當使用者登入時,AWS 透過 SMS 簡訊向使用者的行動裝置傳送六位數字程式碼。使用者需要在登入期間在第二個網頁上輸入該程式碼。請注意,以 SMS 為基礎的 MFA 僅適用於 IAM 使用者。您不能將此類型的 MFA 與 AWS 帳戶 根使用者一起使用。如需有關啟用 SMS 以簡訊為基礎的 MFA 的詳細資訊,請參閱 預覽 – 啟用 SMS 文字訊息 MFA 裝置

    注意

    AWS 即將結束​對 SMS 多重要素驗證 (MFA) 的支援。新客戶無法預覽此功能。建議現有客戶改為使用下列任一種替代方式取代 MFA:虛擬 (軟體式) MFA 裝置U2F 安全性金鑰硬體 MFA 裝置。您可以查看帳戶中的已分配 SMS MFA 裝置的使用者。為此,請前往 IAM 主控台,從導覽窗格中選擇 Users (使用者),然後在表的 MFA 列中尋找具有 SMS 的使用者。

如需有關 AWS MFA 常見問題的解答,請前往 AWS 多重要素驗證常見問答集