啟用虛擬多重要素驗證 (MFA) 裝置 (主控台) - AWS Identity and Access Management

啟用虛擬多重要素驗證 (MFA) 裝置 (主控台)

您可以使用手機或其他裝置,做為虛擬多重要素驗證 (MFA) 裝置。若要執行此操作,安裝與 RFC 6238 (以標準為基礎的 TOTP (以時間為基礎的單次密碼) 演算法) 相容的行動應用程式。這些應用程式產生六位數的身分驗證代碼。由於這些應用程式能在不安全的行動裝置上執行,虛擬 MFA 可能不會提供與 U2F 裝置或硬體 MFA 裝置相同層級的安全性。我們強烈建議您在等待硬體的購買核准或等待硬體就定位時,使用虛擬 MFA 裝置。

大多數虛擬 MFA 應用程式支援多個虛擬裝置的建立,讓您能夠使用多個 AWS 帳戶或使用者的相同應用程式。然而,您只能為每一個使用者僅啟用一個 MFA 裝置。

如需您可以使用的虛擬 MFA 應用程式清單,請參閱多重要素驗證。請注意,AWS 需要一個可產生六位數 OTP 的虛擬 MFA 應用程式。

必要許可

若要為 IAM 使用者AWS:允許經過 MFA 驗證的 IAM 使用者在 My Security Credentials (我的安全憑證) 頁面上管理其 MFA 裝置管理虛擬 MFA 裝置時,您必須擁有以下政策的許可:。

針對 IAM 使用者啟用虛擬 MFA 裝置 (主控台)

您可以在 AWS Management Console 中使用 IAM 為您帳戶中的 IAM 使用者啟用和管理虛擬 MFA 裝置。您可以將標籤連接至 IAM 資源 (包括虛擬 MFA 裝置),以識別、整理和控制其存取權。只有在使用 AWS CLI 或 AWS API 時,您才可以標記虛擬 MFA 裝置。若要使用 AWS CLI 或 AWS API 啟用和管理 MFA 裝置,請參閱 啟用和管理虛擬 MFA 裝置 (AWS CLI 或 AWS API)。若要進一步了解標記 IAM 資源,請參閱 標記 IAM 資源

注意

您必須擁有實體存取託管使用者的虛擬 MFA 裝置的硬體,才能設定 MFA。例如,您可以為使用者設定 MFA,該使用者將使用在智慧型手機上執行的虛擬 MFA 裝置。在這種情況下,您必須有可用的智慧型手機,才能完成精靈。因此,您可能想要讓使用者設定和管理自己的虛擬 MFA 裝置。在這種情況下,您必須授予使用者執行必要 IAM 動作的許可。如需詳細資訊以及授予這些許可的 IAM 政策範例,請參閱 AWS:允許經過 MFA 驗證的 IAM 使用者在 My Security Credentials (我的安全憑證) 頁面上管理其 MFA 裝置

為 IAM 使用者啟用虛擬 MFA 裝置 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. User Name (使用者名稱) 清單中,選擇適用的 MFA 使用者名稱。

  4. 選擇 Security credentials (安全憑證) 索引標籤。在 Assigned MFA device (指派的 MFA 裝置) 旁,選擇 Manage (管理)

  5. Manage MFA Device (管理 MFA 裝置) 精靈中,選擇 Virtual MFA device (虛擬 MFA 裝置),然後選擇 Continue (繼續)

    IAM 將產生並顯示虛擬 MFA 裝置的配置資訊,包括 QR 碼圖形。此圖形代表「私密組態金鑰」,可用來在不支援 QR 碼的裝置上手動輸入。

  6. 開啟您的虛擬 MFA 應用程式。如需可以用於託管虛擬 MFA 裝置的應用程式清單,請參閱多重要素驗證

    如果虛擬 MFA 應用程式支援多個虛擬 MFA 裝置或帳戶,請選擇對應的選項以建立新的虛擬 MFA 裝置或帳戶。

  7. 判定 MFA 應用程式是否支援 QR 碼,然後執行以下操作之一:

    • 從精靈中,選擇 Show QR code (顯示 QR 碼),然後使用應用程式掃描 QR 碼。例如,您可選擇相機圖示或選擇與 Scan code (掃描碼) 類似的選項,然後使用裝置的相機掃描碼。

    • Manage MFA Device (管理 MFA 裝置) 精靈中,選擇 Show secret key (顯示私密金鑰),然後在您的 MFA 應用程式中輸入私密金鑰。

    完成操作後,虛擬 MFA 裝置會開始產生一次性密碼。

  8. Manage MFA Device (管理 MFA 裝置) 精靈中的 MFA code 1 (MFA 代碼 1) 方塊內,輸入虛擬 MFA 裝置上目前顯示的一次性密碼。請等待 30 秒,裝置將產生新的一次性密碼。然後將第二個一次性密碼輸入 MFA code 2 (MFA 代碼 2) 方塊中。選擇 Assign MFA (指派 MFA)

    重要

    產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置

虛擬 MFA 裝置現已準備好與 AWS 一起使用。如需與 AWS Management Console 一起使用 MFA 的詳細資訊,請參閱 透過您的 IAM 登入頁面來使用 MFA 裝置

針對 AWS 帳戶根使用者啟用虛擬 MFA 裝置 (主控台)

您可以在使用 AWS Management Console,來設定和啟用根使用者的虛擬 MFA 裝置。若要為 AWS 帳戶啟用 MFA 裝置,您必須使用根使用者憑證登入 AWS。

啟用根使用者的 MFA 之前,檢閱您的帳戶設定和聯絡資訊,以確保您有權存取電子郵件和電話號碼。如果您的 MFA 裝置遺失、遭竊或無法運作,您仍然可以使用該電子郵件和電話號碼驗證身分,以根使用者身分登入。若要了解如何使用這些替代身分驗證方法登入的詳細資訊,請參閱 MFA 裝置遺失或停止運作時怎麼辦?

設定和啟用虛擬 MFA 裝置以與根使用者一起使用 (主控台)

  1. 登入 AWS Management Console。

  2. 在導覽列右側,選擇您的帳戶名稱,然後選擇 My Security Credentials (我的安全憑證)。如有需要,選擇 Continue to Security Credentials (繼續至安全憑證)。然後展開頁面上的 Multi-Factor Authentication (MFA) (多重要素驗證 (MFA)) 區段。

    
                  導覽選單中的「我的安全憑證」
  3. 選擇 Activate MFA (啟用 MFA)

  4. 在精靈中,選擇 Virtual MFA device (虛擬 MFA 裝置),然後選擇 Continue (繼續)

    IAM 將產生並顯示虛擬 MFA 裝置的配置資訊,包括 QR 碼圖形。此圖形是私密組態金鑰的表示形式,適用於不支援 QR 代碼的裝置上的手動輸入。

  5. 在裝置上開啟虛擬 MFA 應用程式。

    如果虛擬 MFA 應用程式支援多個虛擬 MFA 裝置或帳戶,請選擇對應的選項以建立新的虛擬 MFA 裝置或帳戶。

  6. 設定應用程式的最簡單方法是使用該應用程式掃描 QR 條碼。如果您無法掃描代碼,則可以手動輸入組態資訊。IAM 產生的 QR 碼和私密組態金鑰與您的 AWS 帳戶繫結,不能與其他帳戶一起使用。但是,如果您無法存取原始 MFA 裝置,則他們可以重複使用,以便為您的帳戶設定新的 MFA 裝置。

    • 若要使用 QR 碼設定虛擬 MFA 裝置,請從精靈中選擇 Show QR code (顯示 QR 碼)。然後,遵循應用程式說明來掃描代碼。例如,您可能需要選擇相機圖示,或選擇與 Scan account barcode (掃描帳戶代碼) 相似的命令,然後使用裝置的相機掃描 QR 碼。

    • Manage MFA Device (管理 MFA 裝置) 精靈中,選擇 Show secret key (顯示私密金鑰),然後在您的 MFA 應用程式中輸入私密金鑰。

    重要

    對 QR 條碼或私密組態金鑰進行安全備份,或確保為您的帳戶啟用多個虛擬 MFA 裝置。虛擬 MFA 裝置可能無法使用,例如,如果您遺失託管在虛擬 MFA 裝置的智慧型手機)。如果發生這種情況且您無法由 復原根使用者 MFA 裝置 登入您的帳戶 ,您將無法登入您的帳戶,您必須聯絡客戶服務以移除該帳戶的 MFA 保護。

    裝置開始產生六位數的號碼。

  7. Manage MFA Device (管理 MFA 裝置) 精靈的 MFA Code 1 (MFA 代碼 1) 方塊中,輸入 MFA 裝置目前顯示的六位數號碼。等待最多 30 秒,裝置將產生新號碼,然後在 MFA Code 2 (MFA 代碼 2) 方塊中輸入新的六位數號碼。

    重要

    產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置

  8. 選擇 Assign MFA (指派 MFA),然後選擇 Finish (完成)

裝置現在隨時可以和 AWS 搭配使用。如需與 AWS Management Console 一起使用 MFA 的詳細資訊,請參閱 透過您的 IAM 登入頁面來使用 MFA 裝置

取代或「輪換」虛擬 MFA 裝置

您一次只能指派一個 MFA 裝置給使用者。如果使用者遺失裝置或基於任何原因需要汰換,您必須先停用舊裝置。然後,再為使用者加入新的裝置。