本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用硬體 TOTP 權杖 (主控台)
硬體 TOTP 權杖會在以時間為基礎的一次性密碼 (TOTP) 演算法的基礎上產生六位數字程式碼。使用者必須在登入程序期間出現提示時輸入裝置中的有效代碼。指派給使用者的每個 MFA 裝置必須是唯一的;使用者不能從另一個使用者的裝置中輸入代碼進行身分驗證。MFA 裝置無法跨帳戶或使用者共用。
硬體 TOTP 權杖與 FIDO 安全金鑰都是您購買的實體裝置。硬體 MFA 裝置會在您登入時產生 TOTP 代碼以進行驗證。 AWS他們依賴電池, AWS 隨著時間的推移,可能需要更換和重新同步。FIDO 安全金鑰使用公開金鑰加密技術,不需要電池,並提供順暢的驗證程序。我們建議使用 FIDO 安全密鑰來抵抗網絡釣魚,這為 TOTP 設備提供了更安全的替代方案。此外,FIDO 安全金鑰可支援同一裝置上的多個 IAM 或 root 使用者,進而增強其帳戶安全性的公用程式。如需兩種裝置類型的規格及購買資訊,請參閱多重要素驗證
您可以從 AWS Management Console、命令列或 IAM API 為 IAM 使用者啟用硬體 TOTP 權杖。若要為您的啟用 MFA 裝置 AWS 帳戶根使用者,請參閱針對 AWS 帳戶 根使用者啟用硬體 TOTP 權杖 (主控台)。
您最多可以向您 AWS 帳戶根使用者 和 IAM 使用者註冊八個 MFA 裝置,其中包括目前支援的 MFA 類型
重要
建議您為您的使用者啟用多台 MFA 裝置,以便在一台 MFA 裝置遺失或無法存取時繼續存取您的帳戶。
注意
如果您想要從命令列啟用 MFA 裝置,請使用 aws iam
enable-mfa-device。若要使用 IAM API 啟用 MFA 裝置,請使用 EnableMFADevice 操作。
必要許可
若要管理您 IAM 使用者的硬體 TOTP 權杖,同時保護敏感的 MFA 相關動作,您必須擁有下列政策的許可:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }
啟用您 IAM 使用者的硬體 TOTP 權杖 (主控台)
您可以從 AWS Management Console 啟用您自己的硬體 TOTP 權杖。
注意
在您可以啟用硬體 TOTP 權杖之前,您必須擁有裝置的實體存取權。
要啟用您 IAM 使用者的硬體 TOTP 權杖 (主控台)
-
使用您的 AWS 帳戶 ID 或帳戶別名、IAM 使用者名稱和密碼登入 IAM 主控台
。 注意
為方便起見, AWS 登入頁面會使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 Sign in to a different account (登入不同的帳戶),返回主要登入頁面。您可以在該處輸入帳 AWS 戶 ID 或帳戶別名,以重新導向至帳戶的 IAM 使用者登入頁面。
若要取得您的 AWS 帳戶 ID,請聯絡您的系統管理員。
-
在右上方的導覽列中,選擇您的使用者名稱,然後選擇 安全憑證 。
-
在 AWS IAM credentials ( IAM 憑證) 索引標籤上,在 Multi-factor authentication (MFA) (多重要素驗證 (MFA)) 區段,選擇 Assign MFA device (指派 MFA 裝置)。
-
在精靈中,輸入一個裝置名稱,然後選取 Hardware TOTP token (硬體 TOTP 權杖),再選擇 Next (下一步)。
-
輸入裝置序號。序號通常位於裝置的背面。
-
在 MFA code 1 (MFA 代碼 1) 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。
-
當裝置在重新整理代碼時,等候 30 秒時間後,在 MFA code 2 (MFA 代碼 2) 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。
-
選擇 Add MFA (新增 MFA)。
重要
產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置。
該設備已準備好與一起使用 AWS。如需與 AWS Management Console 一起使用 MFA 的詳細資訊,請參閱 透過您的 IAM 登入頁面來使用 MFA 裝置。
啟用另一個 IAM 使用者的硬體 TOTP 權杖 (主控台)
您可以從 AWS Management Console 啟用另一個 IAM 使用者的硬體 TOTP 權杖。
要啟用另一個 IAM 使用者的硬體 TOTP 權杖 (主控台)
登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇使用者 。
-
選擇要為其啟用 MFA 的使用者名稱。
-
選擇 安全憑證 標籤。在 Multi-Factor Authentication (MFA) (多重要素驗證 (MFA)) 區段下方,選擇 Assign MFA device (指派 MFA 裝置)。
-
在精靈中,輸入一個裝置名稱,然後選取 Hardware TOTP token (硬體 TOTP 權杖),再選擇 Next (下一步)。
-
輸入裝置序號。序號通常位於裝置的背面。
-
在 MFA code 1 (MFA 代碼 1) 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。
-
當裝置在重新整理代碼時,等候 30 秒時間後,在 MFA code 2 (MFA 代碼 2) 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。
-
選擇 Add MFA (新增 MFA)。
重要
產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置。
該設備已準備好與一起使用 AWS。如需與 AWS Management Console 一起使用 MFA 的詳細資訊,請參閱 透過您的 IAM 登入頁面來使用 MFA 裝置。
取代實體 MFA 裝置
與您 AWS 帳戶根使用者 和 IAM 使用者一次最多可以指派給使用者的任何目前支援 MFA 類型
-
如需停用目前與使用者相關聯的裝置,請參閱 停用 MFA 裝置。
-
若要新增 IAM 使用者適用的替代硬體 TOTP 權杖,請遵循本主題稍早介紹的 啟用另一個 IAM 使用者的硬體 TOTP 權杖 (主控台) 程序。
-
若要新增的取代硬體 TOTP 權杖 AWS 帳戶根使用者,請遵循本主題針對 AWS 帳戶 根使用者啟用硬體 TOTP 權杖 (主控台)前面程序中的步驟。
