啟用硬體 TOTP 權杖 (主控台) - AWS Identity and Access Management
必要許可啟用您 IAM 使用者的硬體 TOTP 權杖 (主控台)啟用另一個 IAM 使用者的硬體 TOTP 權杖 (主控台)針對 AWS 帳戶 根使用者啟用硬體 TOTP 權杖 (主控台)取代或「輪換」實體 MFA 裝置

啟用硬體 TOTP 權杖 (主控台)

硬體 TOTP 權杖會在以時間為基礎的一次性密碼 (TOTP) 演算法的基礎上產生六位數字程式碼。使用者必須在登入程序期間出現提示時輸入裝置中的有效代碼。指派給使用者的每個 MFA 裝置必須是唯一的;使用者不能從另一個使用者的裝置中輸入代碼進行身分驗證。

硬體 TOTP 權杖與 FIDO 安全金鑰都是您購買的實體裝置。其差別是硬體 MFA 裝置會產生 TOTP 程式碼,您可以檢視並在出現提示時輸入它以登入 AWS。FIDO 安全金鑰是防釣魚的強 MFA 選項,您不會在其中看到或輸入身分驗證碼。FIDO 安全性金鑰會改為在不向使用者表示的情況下產生回應,讓服務進行驗證。如需兩種裝置類型的規格及購買資訊,請參閱多重要素驗證

您可以從 AWS Management Console、命令列或 IAM API 啟用 IAM 使用者的硬體 TOTP 權杖。若要啟用 AWS 帳戶根使用者 的 MFA 裝置,請參閱針對 AWS 帳戶 根使用者啟用硬體 TOTP 權杖 (主控台)

您可以 以目前受支援 MFA 類型 的任意組合為您的 AWS 帳戶根使用者 和 IAM 使用者註冊最多 八台 MFA 裝置。對於多台 MFA 裝置,您只需要有一台 MFA 裝置登入 AWS Management Console 或以該使用者身分透過 AWS CLI 建立工作階段。

重要

建議您為您的使用者啟用多台 MFA 裝置,以便在一台 MFA 裝置遺失或無法存取時繼續存取您的帳戶。

注意

如果您想要從命令列啟用 MFA 裝置,請使用 aws iam enable-mfa-device。若要使用 IAM API 啟用 MFA 裝置,請使用 EnableMFADevice 操作。

必要許可

若要管理您 IAM 使用者的硬體 TOTP 權杖,同時保護敏感的 MFA 相關動作,您必須擁有下列政策的許可:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

啟用您 IAM 使用者的硬體 TOTP 權杖 (主控台)

您可以從 AWS Management Console 啟用您自己的硬體 TOTP 權杖。

注意

在您可以啟用硬體 TOTP 權杖之前,您必須擁有裝置的實體存取權。

要啟用您 IAM 使用者的硬體 TOTP 權杖 (主控台)

  1. 使用您的 AWS 帳戶 ID 或帳戶別名、IAM 使用者名稱及密碼,登入 IAM 主控台

    注意

    為方便起見,AWS 登入頁面使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 Sign in to a different account (登入不同的帳戶),返回主要登入頁面。從那裡您可以輸入您的 AWS 帳戶ID 或帳戶別名,以重新引導至您帳戶的 IAM 使用者登入頁面。

    若要取得您的 AWS 帳戶 ID,請聯絡您的管理員。

  2. 在右上方的導覽列中,選擇您的使用者名稱,然後選擇 安全憑證

    AWS Management Console 安全憑證連結

  3. AWS IAM credentials ( IAM 憑證) 索引標籤上,在 Multi-factor authentication (MFA) (多重要素驗證 (MFA)) 區段,選擇 Assign MFA device (指派 MFA 裝置)。

  4. 在精靈中,輸入一個裝置名稱,然後選取 Hardware TOTP token (硬體 TOTP 權杖),再選擇 Next (下一步)。

  5. 輸入裝置序號。序號通常位於裝置的背面。

  6. MFA code 1 (MFA 代碼 1) 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。

    IAM 儀表板,MFA 裝置

  7. 當裝置在重新整理代碼時,等候 30 秒時間後,在 MFA code 2 (MFA 代碼 2) 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。

  8. 選擇 Add MFA (新增 MFA)。

    重要

    產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置

裝置現在隨時可以和 AWS 搭配使用。如需與 AWS Management Console 一起使用 MFA 的詳細資訊,請參閱 透過您的 IAM 登入頁面來使用 MFA 裝置

啟用另一個 IAM 使用者的硬體 TOTP 權杖 (主控台)

您可以從 AWS Management Console 啟用另一個 IAM 使用者的硬體 TOTP 權杖。

要啟用另一個 IAM 使用者的硬體 TOTP 權杖 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 使用者

  3. 選擇要為其啟用 MFA 的使用者名稱。

  4. 選擇 安全憑證 標籤。在 Multi-Factor Authentication (MFA) (多重要素驗證 (MFA)) 區段下方,選擇 Assign MFA device (指派 MFA 裝置)。

  5. 在精靈中,輸入一個裝置名稱,然後選取 Hardware TOTP token (硬體 TOTP 權杖),再選擇 Next (下一步)。

  6. 輸入裝置序號。序號通常位於裝置的背面。

  7. MFA code 1 (MFA 代碼 1) 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。

    IAM 儀表板,MFA 裝置

  8. 當裝置在重新整理代碼時,等候 30 秒時間後,在 MFA code 2 (MFA 代碼 2) 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。

  9. 選擇 Add MFA (新增 MFA)。

    重要

    產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置

裝置現在隨時可以和 AWS 搭配使用。如需與 AWS Management Console 一起使用 MFA 的詳細資訊,請參閱 透過您的 IAM 登入頁面來使用 MFA 裝置

針對 AWS 帳戶 根使用者啟用硬體 TOTP 權杖 (主控台)

您僅能從 AWS Management Console 為您的根使用者設定和啟用實體 MFA 裝置,而非從 AWS CLI 或 AWS API。

如果您的 MFA 裝置遺失、遭竊或無法運作,您仍然可以使用身分驗證的其他方法登入。若您無法使用 MFA 裝置登入,您可以採用已和您帳戶一同註冊的電子郵件和電話號碼驗證身分,以藉此方式登入。啟用根使用者的 MFA 之前,檢閱您的帳戶設定和聯絡資訊,以確保您有權存取電子郵件和電話號碼。如需了解如何使用其他身分驗證方法登入的詳細資訊,請參閱MFA 裝置遺失或停止運作時怎麼辦?。若要停用這項功能,請聯絡 AWS Support

注意

您可能會看到不同的文字,例如使用 MFA 登入對您的身分驗證裝置進行疑難排解。不過,其功能是相同的。在任一情況下,若無法使用其他身分驗證要素來驗證您的帳戶電子郵件地址和電話號碼,請聯絡 AWS Support 停用您的 MFA 設定。

針對根使用者啟用 MFA 裝置 (主控台)

  1. 選擇 Root user (根使用者) 並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入 IAM 主控台。在下一頁中,輸入您的密碼。

    注意

    根使用者無法登入 以 IAM 使用者身分登入 頁面。如果您看到 以 IAM 使用者身分登入 頁面,請選擇頁面底部附近的 使用根使用者電子郵件登入。如需以根使用者身分登入的協助,請參閱《AWS 登入 使用者指南》 中的 以根使用者身分登入 AWS Management Console

  2. 在導覽列右側選擇您的帳戶名稱,然後選擇 安全憑證 。如有需要,選擇 Continue to Security Credentials (繼續至安全憑證)。

    在導覽選單中的安全憑證

  3. 展開 Multi-factor authentication (MFA) (多重要素驗證 (MFA)) 區段。

  4. 選擇 Assign MFA device (指派 MFA 裝置)。

  5. 在精靈中,輸入一個裝置名稱,然後選取 Hardware TOTP token (硬體 TOTP 權杖),再選擇 Next (下一步)。

  6. Serial number (序號) 方塊中,輸入在 MFA 裝置背面找到的序號。

  7. MFA code 1 (MFA 代碼 1) 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。

    IAM 儀表板,MFA 裝置

  8. 當裝置在重新整理代碼時,等候 30 秒時間後,在 MFA code 2 (MFA 代碼 2) 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。

  9. 選擇 Add MFA (新增 MFA)。現在,MFA 裝置已與 AWS 帳戶 建立關聯。

    重要

    產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置

    下次使用根使用者憑證登入時,您必須輸入 MFA 裝置的代碼。

取代或「輪換」實體 MFA 裝置

您最多可以有 以目前受支援 MFA 類型 任意組合的八台 MFA 裝置,並將其指派一次性用於 AWS 帳戶根使用者 和 IAM 使用者。如果使用者遺失裝置或基於任何原因需要汰換,您必須先停用舊裝置。然後,再為使用者加入新的裝置。