啟用硬體 MFA 裝置 (主控台) - AWS Identity and Access Management

啟用硬體 MFA 裝置 (主控台)

硬體 MFA 裝置會根據時間同步的一次性密碼演算法產生六位數字代碼。使用者必須在登入程序期間出現提示時輸入裝置中的有效代碼。指派給使用者的每個 MFA 裝置必須是唯一的;使用者不能從另一個使用者的裝置中輸入代碼進行身分驗證。

硬體 MFA 裝置與 FIDO 安全性金鑰都是您購買的實體裝置。其差別是硬體 MFA 裝置會產生代碼,您可以檢視並在出現提示時輸入它以登入 AWS。使用 FIDO 安全性金鑰,您便不會看到或輸入身分驗證代碼。FIDO 安全性金鑰會改為在不向使用者表示的情況下產生回應,讓服務進行驗證。如需兩種裝置類型的規格及購買資訊,請參閱多重要素驗證

您可以從 AWS Management Console、命令列或 IAM API 啟用 IAM 使用者的硬體 MFA 裝置。若要啟用 AWS 帳戶 根使用者的 MFA 裝置,請參閱 針對 AWS 帳戶根使用者啟用硬體 MFA 裝置 (主控台)

您可以針對每個根使用者或 IAM 使用者啟用一個 MFA 裝置 (任何類型)。

注意

如果您想要從命令列啟用裝置,請使用 iam-userenablemfadevice aws iam enable-mfa-device。若要使用 IAM API 啟用 MFA 裝置,請使用 EnableMFADevice 操作。

必要許可

若要管理您 IAM 使用者的硬體 MFA 裝置,同時保護敏感的 MFA 相關動作,您必須擁有下列政策的許可:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

啟用您 IAM 使用者的硬體 MFA 裝置 (主控台)

您可以從 AWS Management Console 啟用您自己的硬體 MFA 裝置。

注意

在您可以啟用硬體 MFA 裝置之前,您必須擁有裝置的實體存取權。

啟用您 IAM 使用者的硬體 MFA 裝置 (主控台)

  1. 使用您的 AWS 帳戶 ID 或帳戶別名、IAM 使用者名稱及密碼,登入 IAM 主控台

    注意

    為方便起見,AWS 登入頁面使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 Sign in to a different account (登入不同的帳戶),返回主要登入頁面。從那裡您可以輸入您的 AWS 帳戶ID 或帳戶別名,以重新引導至您帳戶的 IAM 使用者登入頁面。

    若要取得 AWS 帳戶 ID,請聯絡您的管理員。

  2. 在右上方的導覽列中,選擇您的使用者名稱,然後選擇 My Security Credentials (我的安全憑證)。

    
                  AWS 管理主控台我的安全憑證連結
  3. AWS IAM credentials (AWS IAM 憑證) 索引標籤上,在 Multi-factor authentication (多重要素驗證) 區段,選擇 Manage MFA device (管理 MFA 裝置)

  4. Manage MFA device (管理 MFA 裝置) 精靈中,選擇 Hardware MFA device (硬體 MFA 裝置),然後選擇 Continue (繼續)

  5. 輸入裝置序號。序號通常位於裝置的背面。

  6. MFA code 1 (MFA 代碼 1) 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。

    
                  IAM 儀表板,MFA 裝置
  7. 當裝置在重新整理代碼時,等候 30 秒時間後,在 MFA code 2 (MFA 代碼 2) 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。

  8. 選擇 Assign MFA (指派 MFA)

    重要

    產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置

裝置現在隨時可以和 AWS 搭配使用。如需與 AWS Management Console 一起使用 MFA 的詳細資訊,請參閱 透過您的 IAM 登入頁面來使用 MFA 裝置

針對另一個 IAM 使用者啟用硬體 MFA 裝置 (主控台)

您可以從 AWS Management Console 啟用另一個 IAM 使用者的硬體 MFA 裝置。

針對另一個 IAM 使用者啟用硬體 MFA 裝置 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇要為其啟用 MFA 的使用者名稱,然後選擇 Security credentials (安全憑證) 索引標籤。

  4. Assigned MFA device (指派的 MFA 裝置) 旁,選擇 Manage (管理)

  5. Manage MFA device (管理 MFA 裝置) 精靈中,選擇 Hardware MFA device (硬體 MFA 裝置),然後選擇 Continue (繼續)

  6. 輸入裝置序號。序號通常位於裝置的背面。

  7. MFA code 1 (MFA 代碼 1) 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。

    
            IAM 儀表板,MFA 裝置
  8. 當裝置在重新整理代碼時,等候 30 秒時間後,在 MFA code 2 (MFA 代碼 2) 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。

  9. 選擇 Assign MFA (指派 MFA)

    重要

    產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置

裝置現在隨時可以和 AWS 搭配使用。如需與 AWS Management Console 一起使用 MFA 的詳細資訊,請參閱 透過您的 IAM 登入頁面來使用 MFA 裝置

針對 AWS 帳戶根使用者啟用硬體 MFA 裝置 (主控台)

您僅能從 AWS Management Console 為您的根使用者設定和啟用虛擬 MFA 裝置,而非從 AWS CLI 或 AWS API。

如果您的 MFA 裝置遺失、遭竊或無法運作,您仍然可以使用身分驗證的其他方法登入。若您無法使用 MFA 裝置登入,您可以採用已和您帳戶一同註冊的電子郵件和電話號碼驗證身分,以藉此方式登入。啟用根使用者的 MFA 之前,檢閱您的帳戶設定和聯絡資訊,以確保您有權存取電子郵件和電話號碼。如需了解如何使用其他身分驗證方法登入的詳細資訊,請參閱MFA 裝置遺失或停止運作時怎麼辦?。若要停用這項功能,請聯絡 AWS Support

注意

您可能會看到不同的文字,例如使用 MFA 登入對您的身分驗證裝置進行疑難排解。不過,其功能是相同的。在任一情況下,若無法使用其他身分驗證要素來驗證您的帳戶電子郵件地址和電話號碼,請聯絡 AWS Support 停用您的 MFA 設定。

針對根使用者啟用 MFA 裝置 (主控台)

  1. 選擇 Root user (根使用者) 並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入 IAM 主控台。在下一頁中,輸入您的密碼。

    注意

    如果您看到三個文字方塊,則表示您先前以 IAM 使用者憑證登入主控台。您的瀏覽器可能會記住此偏好設定,並在您每次嘗試登入時開啟此帳戶特定登入頁面。您無法使用 IAM 使用者登入頁面以帳戶擁有者身分登入。如果您看到 IAM 使用者登入頁面中,請選擇頁面底部附近的 Sign in using root user email (使用根使用者電子郵件登入)。這會讓您回到主要登入頁面。您可以在那裡使用 AWS 帳戶 電子郵件地址和密碼,以根使用者身分登入。

  2. 在導覽列右側選擇您的帳戶名稱,然後選擇 My Security Credentials (我的安全憑證)。如有需要,選擇 Continue to Security Credentials (繼續至安全憑證)。

    
                  導覽選單中的「我的安全憑證」
  3. 展開 Multi-factor authentication (MFA) (多重要素驗證 (MFA)) 區段。

  4. 選擇 Manage MFA (管理 MFA)Activate MFA (啟用 MFA),取決您在前面步驟中選擇的選項。

  5. 在精靈中,選擇 Hardware MFA device (硬體 MFA 裝置),然後選擇 Continue (繼續)

  6. Serial number (序號) 方塊中,輸入在 MFA 裝置背面找到的序號。

  7. MFA code 1 (MFA 代碼 1) 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。

    
                  IAM 儀表板,MFA 裝置
  8. 當裝置在重新整理代碼時,等候 30 秒時間後,在 MFA code 2 (MFA 代碼 2) 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。

  9. 選擇 Assign MFA (指派 MFA)。現在,MFA 裝置已與 AWS 帳戶建立關聯。

    重要

    產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置

    下次使用根使用者憑證登入時,您必須輸入 MFA 裝置的代碼。

取代或「輪換」實體 MFA 裝置

您一次只能指派一個 MFA 裝置給使用者。如果使用者遺失裝置或基於任何原因需要汰換,您必須先停用舊裝置。然後,再為使用者加入新的裝置。