啟用 U2F 安全性金鑰 (主控台) - AWS Identity and Access Management

啟用 U2F 安全性金鑰 (主控台)

Universal 2nd Factor (U2F) 安全性金鑰是一種 MFA 裝置,可讓您用來保護 AWS 資源。您可以將 U2F 安全性金鑰插入您電腦上的 USB 連接埠,然後依循後續說明來啟用它。在您啟用它之後,您可以在出現提示時點選它來安全的完成登入程序。若您已搭配其他服務使用 U2F 安全性金鑰,並且它具備 AWS 支援的組態 (例如來自 Yubico 的 Yubikey 4 或 5),您也可以搭配 AWS 來使用它。否則,若您希望在 AWS 中使用 MFA 的 U2F,您便必須購買 U2F 安全性金鑰。如需規格及購買資訊,請參閱多重要素驗證

U2F 是一種託管於 FIDO Alliance 的開放身分驗證標準。當您在 AWS 中啟用 U2F 金鑰時,U2F 安全性金鑰便會建立新的金鑰對,僅用於 AWS。首先,您需要輸入您的憑證。出現提示時,您需要點選 U2F 安全性金鑰,回應 AWS 發出的身分驗證查問。若要進一步了解 U2F 標準,請參閱 Universal 2nd Factor

您可以針對每個根使用者或 IAM 使用者啟用一個 MFA 裝置 (任何類型)。

必要許可

若要管理您 IAM 使用者的 U2F 安全性金鑰,同時保護敏感的 MFA 相關動作,您必須擁有下列政策的許可:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

為您的 IAM 使用者啟用 U2F 安全性金鑰 (主控台)

您只能從 AWS Management Console 為您的 IAM 使用者啟用 U2F 安全性金鑰,而無法從 AWS CLI 或透過 AWS API 進行這項動作。

注意

在您可以啟用 U2F 安全性金鑰之前,您必須擁有裝置的實體存取權。

為您的 IAM 使用者啟用 U2F 安全性金鑰 (主控台)

  1. 使用您的 AWS 帳戶 ID 或帳戶別名、IAM 使用者名稱及密碼,登入 IAM 主控台

    注意

    為方便起見,AWS 登入頁面使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 Sign in to a different account (登入不同的帳戶),返回主要登入頁面。從那裡您可以輸入您的 AWS 帳戶ID 或帳戶別名,以重新引導至您帳戶的 IAM 使用者登入頁面。

    若要取得 AWS 帳戶 ID,請聯絡您的管理員。

  2. 在右上方的導覽列中,選擇您的使用者名稱,然後選擇 My Security Credentials (我的安全憑證)

    
                  AWS 管理主控台我的安全憑證連結
  3. AWS IAM credentials (AWS IAM 憑證) 索引標籤上,在 Multi-factor authentication (多重要素驗證) 區段,選擇 Manage MFA device (管理 MFA 裝置)

  4. Manage MFA device (管理 MFA 裝置) 精靈中,選擇 U2F security key (U2F 安全性金鑰),然後選擇 Continue (繼續)

  5. 將 U2F 安全性金鑰插入您電腦的 USB 連接埠。

    
                  U2F 安全性金鑰
  6. 點選 U2F 安全性金鑰,然後在 U2F 設定完成時選擇 Close (關閉)。

U2F 安全性金鑰現在隨時可以和 AWS 搭配使用。如需與 AWS Management Console 一起使用 MFA 的詳細資訊,請參閱 透過您的 IAM 登入頁面來使用 MFA 裝置

為另一個 IAM 使用者啟用 U2F 安全性金鑰 (主控台)

您只能從 AWS Management Console 為另一個 IAM 使用者啟用 U2F 安全性金鑰,而無法從 AWS CLI 或透過 AWS API 進行這項動作。

為另一個 IAM 使用者啟用 U2F 安全性金鑰 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)

  3. 選擇要為其啟用 MFA 的使用者名稱,然後選擇 Security credentials (安全憑證) 索引標籤。

  4. Assigned MFA device (指派的 MFA 裝置) 旁,選擇 Manage (管理)

  5. Manage MFA device (管理 MFA 裝置) 精靈中,選擇 U2F security key (U2F 安全性金鑰),然後選擇 Continue (繼續)。

  6. 將 U2F 安全性金鑰插入您電腦的 USB 連接埠。

    
            U2F 安全性金鑰
  7. 點選 U2F 安全性金鑰,然後在 U2F 設定完成時選擇 Close (關閉)。

U2F 安全性金鑰現在隨時可以和 AWS 搭配使用。如需與 AWS Management Console 一起使用 MFA 的詳細資訊,請參閱 透過您的 IAM 登入頁面來使用 MFA 裝置

為 AWS 帳戶根使用者啟用 U2F 安全性金鑰 (主控台)

您僅能從 AWS Management Console 為您的根使用者設定和啟用虛擬 MFA 裝置,而非從 AWS CLI 或 AWS API。

如果您的 U2F 安全性金鑰遺失、遭竊或無法運作,您仍然可以使用身分驗證的其他方法登入。如需了解如何使用其他身分驗證方法登入的詳細資訊,請參閱 MFA 裝置遺失或停止運作時怎麼辦?。若要停用這項功能,請聯絡 AWS Support

為根使用者啟用 U2F 金鑰 (主控台)

  1. 選擇 Root user (根使用者) 並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入 IAM 主控台。在下一頁中,輸入您的密碼。

    注意

    如果您看到三個文字方塊,則表示您先前以 IAM 使用者憑證登入主控台。您的瀏覽器可能會記住此偏好設定,並在您每次嘗試登入時開啟此帳戶特定登入頁面。您無法使用 IAM 使用者登入頁面以帳戶擁有者身分登入。如果您看到 IAM 使用者登入頁面中,請選擇頁面底部附近的 Sign in using root user email (使用根使用者電子郵件登入)。這會讓您回到主要登入頁面。您可以在那裡使用 AWS 帳戶 電子郵件地址和密碼,以根使用者身分登入。

  2. 在導覽列右側選擇您的帳戶名稱,然後選擇 My Security Credentials (我的安全憑證)。如有需要,選擇 Continue to Security Credentials (繼續至安全憑證)。

    
                  導覽選單中的「我的安全憑證」
  3. 展開 Multi-factor authentication (MFA) (多重要素驗證 (MFA)) 區段。

  4. 選擇 Manage MFA (管理 MFA)Activate MFA (啟用 MFA),取決您在前面步驟中選擇的選項。

  5. 在精靈中,選擇 U2F security key (U2F 安全性金鑰),然後選擇 Continue (繼續)。

  6. 將 U2F 安全性金鑰插入您電腦的 USB 連接埠。

    
                  U2F 安全性金鑰
  7. 點選 U2F 安全性金鑰,然後在 U2F 設定完成時選擇 Close (關閉)。

U2F 安全性金鑰現在隨時可以和 AWS 搭配使用。下一次當您使用根使用者憑證登入時,您必須點選 U2F 安全性金鑰才能完成登入程序。

替換 U2F 安全性金鑰

您一次只能指派一個 MFA 裝置 (虛擬、U2F 安全性金鑰或硬體) 給使用者。如果使用者遺失 U2F 金鑰或基於任何原因需要替換,您必須先停用舊的 U2F 金鑰。然後,再為使用者新增新的 MFA 裝置。

若您無法存取新的 U2F 安全性金鑰,您可以啟用新的虛擬 MFA 裝置或硬體 MFA 裝置。請參閱以下其中一項以取得說明: