啟用虛擬多重要素驗證 (MFA) 裝置 (主控台)

您可以使用手機或其他裝置，做為虛擬多重要素驗證 (MFA) 裝置。若要執行此操作，安裝與 RFC 6238 (以標準為基礎的 TOTP (以時間為基礎的單次密碼) 演算法) 相容的行動應用程式。這些應用程式產生六位數的身分驗證代碼。由於它們能在不安全的行動裝置上執行，虛擬 MFA 可能不會提供與 FIDO 安全金鑰相同的安全層級。我們強烈建議您在等待硬體的購買核准或等待硬體就定位時，使用虛擬 MFA 裝置。

大多數虛擬 MFA 應用程序支持創建多個虛擬設備，允許您為多個 AWS 帳戶 或用戶使用同一個應用程序。您最多可以向您 AWS 帳戶根使用者 和 IAM 使用者註冊八個 MFA 裝置，其中包括目前支援的 MFA 類型的任何組合。對於多個 MFA 裝置，您只需要一個 MFA 裝置即可透過該使用者 AWS CLI 身分登入 AWS Management Console 或建立工作階段。我們建議您註冊多個 MFA 裝置。對於驗證器應用程式，我們也建議您在這些應用程式中啟用雲端備份或同步功能，以協助避免在具有驗證器應用程式的裝置遺失或損壞時，失去對帳戶的存取權限。

如需您可以使用的虛擬 MFA 應用程式清單，請參閱多重要素驗證。 AWS 需要可產生六位數 OTP 的虛擬 MFA 應用程式。

必要許可

若要為 IAM 使用者AWS：允許 MFA 驗證的 IAM 使用者在安全登入資料頁面上管理自己的 MFA 裝置管理虛擬 MFA 裝置時，您必須擁有以下政策的許可：。

針對 IAM 使用者啟用虛擬 MFA 裝置 (主控台)

您可以在中使用 IAM 為帳戶中的 IAM 使用者啟用和管理虛擬 MFA 裝置。 AWS Management Console 您可以將標籤連接至 IAM 資源 (包括虛擬 MFA 裝置)，以識別、整理和控制其存取權。只有在使用 AWS CLI 或 AWS API 時，才能標記虛擬 MFA 裝置。若要使用 AWS CLI 或 AWS API 啟用和管理 MFA 裝置，請參閱啟用及管理虛擬 MFA 裝置 (AWS CLI 或 AWS API)。如需標記 IAM 資源的詳細資訊，請參閱 標記 IAM 資源。

注意

您必須擁有實體存取託管使用者的虛擬 MFA 裝置的硬體，才能設定 MFA。例如，您可以為使用者設定 MFA，該使用者將使用在智慧型手機上執行的虛擬 MFA 裝置。在這種情況下，您必須有可用的智慧型手機，才能完成精靈。因此，您可能想要讓使用者設定和管理自己的虛擬 MFA 裝置。在這種情況下，您必須授予使用者執行必要 IAM 動作的許可。如需詳細資訊以及授予這些許可的 IAM 政策範例，請參閱 IAM 教學課程：允許使用者管理其憑證和 MFA 設定 和範例政策 AWS：允許 MFA 驗證的 IAM 使用者在安全登入資料頁面上管理自己的 MFA 裝置。

為 IAM 使用者啟用虛擬 MFA 裝置 (主控台)

1. 登入 AWS Management Console 並開啟身分與存取權管理主控台，網址為 https://console.aws.amazon.com/iam/。

2. 在導覽窗格中，選擇使用者 。

3. 在使用者清單中選擇 IAM 使用者名稱。

4. 選擇 安全憑證 標籤。在 Multi-Factor Authentication (MFA) (多重要素驗證 (MFA)) 區段下方，選擇 Assign MFA device (指派 MFA 裝置)。

5. 在精靈中輸入 Device name，然後選擇 驗證器應用程式，再選擇 下一步。

   IAM 將產生並顯示虛擬 MFA 裝置的配置資訊，包括 QR 碼圖形。此圖形代表「私密組態金鑰」，可用來在不支援 QR 碼的裝置上手動輸入。

6. 開啟您的虛擬 MFA 應用程式。如需可以用於託管虛擬 MFA 裝置的應用程式清單，請參閱多重要素驗證。

   如果虛擬 MFA 應用程式支援多個虛擬 MFA 裝置或帳戶，請選擇對應的選項以建立新的虛擬 MFA 裝置或帳戶。

7. 判定 MFA 應用程式是否支援 QR 碼，然後執行以下操作之一：

   • 從精靈中，選擇 Show QR code (顯示 QR 碼)，然後使用應用程式掃描 QR 碼。例如，您可選擇相機圖示或選擇與 Scan code (掃描碼) 類似的選項，然後使用裝置的相機掃描碼。

   • 在精靈中，選擇 Show secret key (顯示私密金鑰)，然後在您的 MFA 應用程式中輸入私密金鑰。

   完成操作後，虛擬 MFA 裝置會開始產生一次性密碼。

8. 在 設定裝置 頁面中的 MFA 代碼 1 方塊內輸入虛擬 MFA 裝置上目前顯示的一次性密碼。請等待 30 秒，裝置將產生新的一次性密碼。然後將第二個一次性密碼輸入 MFA code 2 (MFA 代碼 2) 方塊中。選擇 Add MFA (新增 MFA)。

   重要

   產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求，MFA 裝置會成功地與使用者建立關聯，但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下，您可以重新同步裝置。

虛擬 MFA 裝置現在已準備就緒，可與 AWS. 若要取得有關搭配使用 MFA 的資訊 AWS Management Console，請參閱透過您的 IAM 登入頁面來使用 MFA 裝置。

取代虛擬 MFA 裝置

您最多可以向您 AWS 帳戶根使用者 和 IAM 使用者註冊八個 MFA 裝置，其中包括目前支援的 MFA 類型的任何組合。如果使用者遺失裝置或基於任何原因需要汰換，您必須先停用舊裝置。然後，再為使用者加入新的裝置。

• 如需停用目前與另一個 IAM 使用者相關聯的裝置，請參閱 停用 MFA 裝置。

• 若要新增另一個 IAM 使用者的取代用虛擬 MFA 裝置，請遵循上方 針對 IAM 使用者啟用虛擬 MFA 裝置 (主控台) 程序中的步驟。

• 若要新增的取代虛擬 MFA 裝置 AWS 帳戶根使用者，請遵循程序針對 AWS 帳戶根使用者 啟用虛擬 MFA 裝置 (主控台)中的步驟。