多重要素驗證 - 導覽 AWS 上的 GDPR 合規

多重要素驗證

若要更進一步提升安全,可以為您的 AWS 帳戶及 IAM 使用者新增雙重要素驗證。啟用多重要素驗證 (MFA) 之後,當您登入 AWS 管理主控台時,就會提示您輸入使用者名稱與密碼 (第一個要素),以及您 AWS MFA 裝置發出的驗證回應 (第二個要素)。您可以為您的 AWS 帳戶和您帳戶中建立的個別 IAM 使用者啟用 MFA。此外也可使用 MFA 控制 AWS 服務 API 的存取權。

例如,您可以定義原則,授與 Amazon EC2 中所有 AWS API 作業的完整存取權,但明確拒絕未經 MFA 驗證的使用者,存取特定的 API 作業,例如 StopInstancesTerminateInstances

{ “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “AllowAllActionsForEC2”, “Effect”: “Allow”, “Action”: “ec2:*”, “Resource”: “*” }, { “Sid”: “DenyStopAndTerminateWhenMFAIsNotPResent”, “Effect”: “Deny”, “Action”: [ “ec2:StopInstances”, “ec2:TerminateInstances” ], “Resource”: “*”, “Conditions”: { “BoolIfExists”: {“aws:MultiFactorAuthPresent”:false} } } } }

若要為 Amazon S3 儲存貯體加設一層安全性,可以設定 MFA Delete (MFA 刪除),另外要求其他驗證,才能變更儲存貯體的版本狀態,以及永久刪除物件版本。MFA Delete (MFA 刪除) 是安全認證洩露時的另一層安全保護。

若要使用 MFA Delete (MFA 刪除),可以使用硬體或虛擬 MFA 裝置產生驗證碼。如需支援硬體或虛擬 MFA 裝置的清單,請參閲多重要素驗證頁面