為使用者註冊MFA裝置 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為使用者註冊MFA裝置

IAM身分識別中心管理員可以在IAM身分識別中心主控台中設定新MFA裝置,以供特定使用者存取。管理員必須具有對使用者MFA裝置的實體存取權,才能註冊裝置。例如,如果您MFA為將使用智能手機上運行的設MFA備的用戶進行配置,則需要對智能手機進行物理訪問才能完成註冊過程。或者,您可以允許使用者設定和管理自己的MFA裝置。如需詳細資訊,請參閱允許使用者註冊自己的MFA裝置

若要註冊MFA裝置

  1. 開啟IAM身分識別中心主控台

  2. 在左側導覽窗格中,選擇 Users (使用者)。在清單中選擇使用者。請勿針對此步驟選取使用者旁邊的核取方塊。

  3. 在使用者詳細資料頁面上,選擇MFA裝置索引標籤,然後選擇 [註冊MFA裝置]。

  4. 在 [註冊MFA裝置] 頁面上,選取下列其中一種MFA裝置類型,然後依照指示進行:

    • 驗證器應用程式

      1. 在 [設定驗證器應用程式] 頁面上,IAMIdentity Center 會顯示新MFA裝置的設定資訊,包括 QR 碼圖形。該圖形是密鑰的表示形式,該密鑰可用於在不支持 QR 碼的設備上手動輸入。

      2. 使用實體MFA裝置,執行下列動作:

        1. 開啟相容的MFA驗證器應用程式。如需可與MFA裝置搭配使用的已測試應用程式清單,請參閱虛擬驗證器應用程式。如果該MFA應用程序支持多個帳戶(多個MFA設備),請選擇創建新帳戶(新設MFA備)的選項。

        2. 判斷MFA應用程式是否支援 QR 碼,然後在「設定驗證器應用程式」頁面上執行下列任一項作業:

          1. 選擇 [顯示 QR 碼],然後使用應用程式掃描 QR 碼。例如,您可以選擇相機圖示或選擇類似於「掃描程式碼」的選項。然後使用設備的相機掃描代碼。

          2. 選擇顯示秘密金鑰,然後在您的MFA應用程式中輸入該密鑰。

            重要

            當您為IAM身分識別中心設定MFA裝置時,我們建議您將 QR 碼或私密金鑰的複本儲存在安全的地方。如果指派的使用者遺失手機或必須重新安裝MFA驗證器應用程式,這可能會有所幫助。如果其中一種情況發生,您可以快速重新配置應用程序以使用相同的MFA配置。這樣可避免在IAM身分識別中心為使用者建立新MFA裝置的需求。

      3. 在 [設定驗證器應用程式] 頁面的 [驗證器代碼] 底下,輸入目前顯示在實體MFA裝置上的一次性密碼。

        重要

        產生代碼之後立即提交您的請求。如果您產生代碼,然後等待太長時間才能提交要求,MFA裝置就會成功與使用者建立關聯。但裝MFA置不同步。發生這種情況是因為基於時間的一次性密碼(TOTP)會在短時間後過期。這種情況下,您可以重新同步裝置。

      4. 選擇 AssignMFA (指派)。該MFA設備現在可以開始生成一次性密碼,現在可以與 AWS.

    • 安全性金鑰

      1. 在 [註冊使用者的安全金鑰] 頁面上,遵循瀏覽器或平台提供給您的指示。

        注意

        這裡的體驗因不同的操作系統和瀏覽器而異,因此請按照您的瀏覽器或平台顯示的說明進行操作。成功註冊使用者的裝置後,您可以選擇將易記的顯示名稱與使用者新註冊的裝置建立關聯。如果您要變更此設定,請選擇 [重新名],輸入新名稱,然後選擇 [儲存]。如果您已啟用允許使用者管理自己裝置的選項,使用者會在 AWS 存取入口網站。