在 AWS Management Console中指派虛擬 MFA 裝置

您可以使用手機或其他裝置，做為虛擬多重要素驗證 (MFA) 裝置。若要執行此操作，安裝與 RFC 6238 (以標準為基礎的 TOTP (以時間為基礎的單次密碼) 演算法) 相容的行動應用程式。這些應用程式產生六位數的身分驗證代碼。由於它們能在不安全的行動裝置上執行，虛擬 MFA 可能不會提供與防禦網路釣魚選項 (例如 FIDO2 安全金鑰和通行密鑰) 相同的安全層級。

如果考慮移至 MFA 的 FIDO2 安全金鑰，強烈建議您在等待任何硬體購買核准或硬體送達時繼續使用虛擬 MFA 裝置。

大多數虛擬 MFA 應用程式支援建立多個虛擬裝置，可讓您為多個 AWS 帳戶 或 使用者使用相同的應用程式。您最多可以向 AWS 帳戶根使用者 和 IAM 使用者註冊八個 MFA 類型任意組合的 MFA 裝置。您只需一個 MFA 裝置即可登入 AWS Management Console 或透過 建立工作階段 AWS CLI。我們建議您註冊多個 MFA 裝置。對於驗證器應用程式，我們也建議您啟用雲端備份或同步功能，以協助避免在裝置遺失或損壞時，失去對帳戶的存取權。

AWS 需要可產生六位數 OTP 的虛擬 MFA 應用程式。如需您可以使用的虛擬 MFA 應用程式清單，請參閱多重要素驗證。

必要許可

若要為 IAM 使用者AWS：允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其自己的 MFA 裝置管理虛擬 MFA 裝置時，您必須擁有以下政策的許可：。

針對 IAM 使用者啟用虛擬 MFA 裝置 (主控台)

您可以在 中使用 IAM AWS Management Console ，為帳戶中的 IAM 使用者啟用和管理虛擬 MFA 裝置。您可以將標籤連接至 IAM 資源 (包括虛擬 MFA 裝置)，以識別、整理和控制其存取權。您只能在使用 AWS CLI 或 AWS API 時標記虛擬 MFA 裝置。若要使用 AWS CLI 或 AWS API 啟用和管理 MFA 裝置，請參閱 在 AWS CLI 或 AWS API 中指派 MFA 裝置。如需標記 IAM 資源的詳細資訊，請參閱 AWS Identity and Access Management 資源的標籤。

注意

您必須擁有實體存取託管使用者的虛擬 MFA 裝置的硬體，才能設定 MFA。例如，您可以為使用者設定 MFA，該使用者將使用在智慧型手機上執行的虛擬 MFA 裝置。在這種情況下，您必須有可用的智慧型手機，才能完成精靈。因此，您可能想要讓使用者設定和管理自己的虛擬 MFA 裝置。在這種情況下，您必須授予使用者執行必要 IAM 動作的許可。如需詳細資訊以及授予這些許可的 IAM 政策範例，請參閱 IAM 教學課程：允許使用者管理其憑證和 MFA 設定 和範例政策 AWS：允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其自己的 MFA 裝置。

為 IAM 使用者啟用虛擬 MFA 裝置 (主控台)

1. 登入 AWS Management Console ，並在 https：//https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

2. 在導覽窗格中，選擇使用者 。

3. 在使用者清單中選擇 IAM 使用者名稱。

4. 選擇 安全憑證 標籤。在 Multi-Factor Authentication (MFA) (多重要素驗證 (MFA)) 區段下方，選擇 Assign MFA device (指派 MFA 裝置)。

5. 在精靈中輸入 Device name，然後選擇 驗證器應用程式，再選擇 下一步。

   IAM 將產生並顯示虛擬 MFA 裝置的配置資訊，包括 QR 碼圖形。此圖形代表「私密組態金鑰」，可用來在不支援 QR 碼的裝置上手動輸入。

6. 開啟您的虛擬 MFA 應用程式。如需可以用於託管虛擬 MFA 裝置的應用程式清單，請參閱多重要素驗證。

   如果虛擬 MFA 應用程式支援多個虛擬 MFA 裝置或帳戶，請選擇對應的選項以建立新的虛擬 MFA 裝置或帳戶。

7. 判定 MFA 應用程式是否支援 QR 碼，然後執行以下操作之一：

   • 從精靈中，選擇 Show QR code (顯示 QR 碼)，然後使用應用程式掃描 QR 碼。這可能是攝影機圖示或使用裝置的攝影機掃描代碼的掃描代碼選項。

   • 在精靈中，選擇 Show secret key (顯示私密金鑰)，然後在您的 MFA 應用程式中輸入私密金鑰。

   完成操作後，虛擬 MFA 裝置會開始產生一次性密碼。

8. 在 設定裝置 頁面中的 MFA 代碼 1 方塊內輸入虛擬 MFA 裝置上目前顯示的一次性密碼。請等待 30 秒，裝置將產生新的一次性密碼。然後將第二個一次性密碼輸入 MFA code 2 (MFA 代碼 2) 方塊中。選擇 Add MFA (新增 MFA)。

   重要

   產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求，MFA 裝置會成功地與使用者建立關聯，但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下，您可以重新同步裝置。

虛擬 MFA 裝置現在可以與 搭配使用 AWS。如需搭配 使用 MFA 的詳細資訊 AWS Management Console，請參閱 啟用 MFA 的登入。

注意

當您透過 AWS Management Console 或在登入程序期間新增新的虛擬 MFA 裝置時， 中未指派的虛擬 MFA 裝置 AWS 帳戶 會遭到刪除。未指派的虛擬 MFA 裝置是您帳戶中的裝置，但帳戶根使用者或 IAM 使用者不會用於登入程序。它們已被刪除，因此新的虛擬 MFA 裝置可以新增到您的帳戶。它也可讓您重複使用裝置名稱。

• 若要檢視帳戶中未指派的虛擬 MFA 裝置，您可以使用 list-virtual-mfa-devices AWS CLI 命令或 API 呼叫。

• 若要停用虛擬 MFA 裝置，您可以使用 deactivate-mfa-device AWS CLI 命令或 API 呼叫。裝置將變成未指派。

• 若要將未指派的虛擬 MFA 裝置連接至您的 AWS 帳戶 根使用者或 IAM 使用者，您需要裝置產生的驗證碼，以及 enable-mfa-device AWS CLI 命令或 API 呼叫。

取代虛擬 MFA 裝置

您的 AWS 帳戶根使用者 和 IAM 使用者可以註冊最多八個 MFA 裝置，任何 MFA 類型的組合。如果使用者遺失裝置或基於任何原因需要更換，請停用舊裝置。然後，再為使用者加入新的裝置。

• 如需停用目前與另一個 IAM 使用者相關聯的裝置，請參閱 停用 MFA 裝置。

• 若要新增另一個 IAM 使用者的取代用虛擬 MFA 裝置，請遵循上方 針對 IAM 使用者啟用虛擬 MFA 裝置 (主控台) 程序中的步驟。

• 若要新增 的替代虛擬 MFA 裝置 AWS 帳戶根使用者，請遵循程序 中的步驟針對根使用者啟用虛擬 MFA 裝置 (主控台)。