多重要素驗證
若要更進一步提升安全,可以為您的 AWS 帳戶及 IAM 使用者新增雙重要素驗證。啟用多重要素驗證 (MFA) 之後,當您登入 AWS 管理主控台
例如,您可以定義原則,授與 Amazon EC2 中所有 AWS API 作業的完整存取權,但明確拒絕未經 MFA 驗證的使用者,存取特定的 API 作業,例如 StopInstances
與 TerminateInstances
。
{ “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “AllowAllActionsForEC2”, “Effect”: “Allow”, “Action”: “ec2:*”, “Resource”: “*” }, { “Sid”: “DenyStopAndTerminateWhenMFAIsNotPResent”, “Effect”: “Deny”, “Action”: [ “ec2:StopInstances”, “ec2:TerminateInstances” ], “Resource”: “*”, “Conditions”: { “BoolIfExists”: {“aws:MultiFactorAuthPresent”:false} } } } }
若要為 Amazon S3 儲存貯體加設一層安全性,可以設定 MFA Delete (MFA 刪除),另外要求其他驗證,才能變更儲存貯體的版本狀態,以及永久刪除物件版本。MFA Delete (MFA 刪除) 是安全認證洩露時的另一層安全保護。
若要使用 MFA Delete (MFA 刪除),可以使用硬體或虛擬 MFA 裝置產生驗證碼。如需支援硬體或虛擬 MFA 裝置的清單,請參閲多重要素驗證頁面