AWS 多因素身份驗證 IAM - AWS Identity and Access Management
MFA類型MFA建議其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 多因素身份驗證 IAM

為了提高安全性,建議您設定多重要素驗證 (MFA) 以協助保護您的 AWS 資源。您可以MFA為 AWS 帳戶根使用者 和IAM使用者啟用。當您MFA為 root 使用者啟用時,它只會影響 root 使用者身份證明。IAM帳戶中的使用者是具有自己認證的不同身分,而且每個身分都有自己的MFA組態。

您 AWS 帳戶根使用者 和IAM使用者最多可以註冊八個任何類型的MFA裝置。註冊多個MFA裝置可提供彈性,並協助您降低裝置遺失或損壞時存取中斷的風險。您只需要一部MFA裝置即可登入 AWS Management Console 或透過建立工作階段 AWS CLI。

注意

我們建議您要求您的人類使用者在存取時使用臨時登入資料 AWS。你有沒有考慮過使用 AWS IAM Identity Center? 您可以使用 IAM Identity Center 集中管理多個存取權限, AWS 帳戶 並從一個位置為使用者提供MFA受保護的單一登入存取所有指派帳戶。透過IAM身分識別中心,您可以在IAM身分識別中心建立和管理使用者身分,或輕鬆連線至現有的 SAML 2.0 相容身分識別提供者。如需詳細資訊,請參閱什麼是IAM身分識別中心?《AWS IAM Identity Center 使用者指南》中。

MFA增加了額外的安全性,要求用戶在訪問 AWS 網站或服務時除了登錄憑據之外,還需要從 AWS 受支持的MFA機制提供唯一身份驗證。

MFA類型

AWS 支援下列MFA類型:

密碼金鑰和安全金鑰

AWS Identity and Access Management 支援的MFA密碼金鑰和安全金鑰。根據FIDO標準,密碼金鑰使用公開金鑰加密技術來提供比密碼更安全的強式、防網路釣魚驗證。 AWS 支援兩種類型的密碼:裝置繫結的密碼金鑰 (安全金鑰) 和同步的密碼金鑰。

  • 安全密鑰:這些是物理設備,例如 YubiKey,用作身份驗證的第二個因素。單一安全金鑰可支援多個 root 使用者帳戶和使IAM用者。

  • 同步的密鑰:這些使用提供商(例如谷歌,蘋果,Microsoft 帳戶以及第三方服務(如 1Password,Dashlane 和 Bitwarden)的憑據管理器作為第二個因素。

您可以使用內建的生物特徵驗證器 (例如 Apple MacBooks 上的 Touch ID) 來解鎖憑證管理器並登入 AWS。密碼是由您選擇的供應商使用您的指紋、臉孔或裝置PIN建立的。您可以跨裝置同步密碼金鑰 AWS,以促進登入,進而增強可用性和可復原性。

IAM不支援 Windows 您好的本機金鑰註冊。若要建立和使用密碼金鑰,Windows 使用者應該使用跨裝置驗證 () CDA。您可以使用一部裝置的金CDA鑰 (例如行動裝置或硬體安全金鑰) 在其他裝置上登入,例如筆記型電腦。

FIDO聯盟會維護一份與FIDO規格相容的所有FIDO認證產品清單。

如需啟用密碼金鑰和安全金鑰的詳細資訊,請參閱啟用 root 使用者的金鑰或安全金鑰 (主控台)

虛擬驗證器應用程式

虛擬身份驗證器應用程序在手機或其他設備上運行,並模擬物理設備。虛擬身份驗證器應用程序實現基於時間的一次性密碼(TOTP)算法,並在單個設備上支持多個令牌。登入期間出現提示時,使用者必須輸入裝置的有效代碼。分配給用戶的每個令牌必須是唯一的。用戶無法從其他用戶的令牌中鍵入代碼進行身份驗證。

我們建議您在等待硬體購買核准或等待硬體送達時使用虛擬MFA裝置。如需一些可作為虛擬MFA裝置使用的受支援應用程式清單,請參閱多重要素驗證 (MFA)

如需為IAM使用者設定虛擬MFA裝置的指示,請參閱在中指派虛擬MFA裝置 AWS Management Console

硬件TOTP令牌

硬件設備根據基於時間的一次性密碼(TOTP)算法生成六位數的數字代碼。使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。

這些令牌僅與 AWS 帳戶. 您只能使用具有安全共享其唯一令牌種子的令牌 AWS。令牌種子是在令牌生產時生成的秘密密鑰。從其他來源購買的令牌將無法與IAM. 為確保兼容性,您必須從以下鏈接之一購買硬件MFA設備:OTP令牌OTP顯示卡

  • 指派給使用者的每個MFA裝置都必須是唯一的。使用者無法輸入另一個使用者裝置的代碼來進行身分驗證。如需有關支援硬體MFA裝置的資訊,請參閱多重要素驗證 (MFA)

  • 如果您想要使用實體MFA裝置,建議您使用安全金鑰來替代硬體TOTP裝置。安全金鑰不需要電池、防網路釣魚功能,並可在單一裝置上支援多位使用者。

您可以從唯一啟用金鑰或安全金鑰, AWS Management Console 而不能從 AWS CLI 或 AWS API啟用。您必須擁有裝置的實體存取權,才能啟用安全金鑰。

如需為IAM使用者設定硬體 TOTP Token 的指示,請參閱在中指派硬體TOTP權杖 AWS Management Console

注意

SMS基於文本消息 MFA- AWS 終止支持啟用SMS多因素身份驗證()。MFA我們建議有使用IAM者使用簡SMS訊型MFA切換器的客戶,使用下列其中一種替代方法:金鑰或安全金鑰、虛擬 (以軟體為基礎的) MFA 裝置或硬體裝置。MFA您可以使用指派的SMSMFA裝置識別帳戶中的使用者。在IAM主控台中,從導覽窗格中選擇 [使用者],然後在表格MFASMS中尋找具有的使用者。

MFA建議

若要協助保護您的 AWS 身分,請遵循下列MFA驗證建議。

  • 我們建議您為. 中的 AWS 帳戶根使用者 和IAM使用者啟用多個MFA裝置 AWS 帳戶。這可讓您提高您的安全性列, AWS 帳戶 並簡化對高權限使用者的存取管理,例如 AWS 帳戶根使用者.

  • 您可以向您的 AWS 帳戶根使用者 和IAM使用者註冊最多八個MFA裝置,其中包含目前支援的MFA類型的任何組合。使用多個MFA裝置時,您只需要一部MFA裝置即可透過該使用者 AWS CLI 身分登入 AWS Management Console 或建立工作階段。IAM使用者必須使用現有MFA裝置進行驗證,才能啟用或停用其他MFA裝置。

  • 如果裝置遺失、遭竊或無法存取,您可以使用其他MFA裝置之一來存取MFA裝置, AWS 帳戶 而無需執行 AWS 帳戶 復原程序。如果MFA裝置遺失或遭竊,應該與其相關聯的IAM主體取消關聯。

  • 使用多個功能MFAs可讓您的員工在不同地理位置或遠端工作以硬體為基礎進行存MFA取, AWS 而無需協調員工之間單一硬體裝置的實體交換。

  • 使用額外的MFA裝置作為IAM主體,可讓您在日常使用時使用一或多MFAs個裝置,同時將實體MFA裝置維護在安全的實體位置 (例如 Vault),或是安全的備份和備援。

備註

  • 您無法將FIDO安全金鑰的MFA資訊傳遞給要求臨時認證的 AWS STS API作業。

  • 您無法使用 AWS CLI 指令或 AWS API作業來啟用FIDO安全金鑰

  • 您無法在多個根或IAMMFA裝置上使用相同的名稱。

其他資源

以下資源可以幫助您進一步了解IAMMFA。

  • 若要取得有關使用MFA來存取的更多資訊 AWS,請參閱MFA已啟用登入

  • 您可以利用IAM身分識別中心啟用MFA存 AWS 取入口網站、IAM Identity Center 整合式應用程式和 AWS CLI. 如需詳細資訊,請參閱MFA在IAM身分識別中心中啟用