Erforderliche Berechtigungen Aktivieren Sie ein TOTP Hardware-Token für Ihren eigenen IAM Benutzer (Konsole)Aktivieren Sie ein TOTP Hardware-Token für einen anderen IAM Benutzer (Konsole)Tauschen Sie ein physisches MFA Gerät aus

Weisen Sie ein TOTP Hardware-Token zu in AWS Management Console

Ein TOTP Hardware-Token generiert einen sechsstelligen numerischen Code, der auf einem zeitbasierten Einmalpasswort () TOTP -Algorithmus basiert. Der Benutzer muss einen gültigen Code vom Gerät eingeben, wenn er während des Anmeldevorgangs dazu aufgefordert wird. Jedes einem Benutzer zugewiesene MFA Gerät muss einzigartig sein. Ein Benutzer kann zur Authentifizierung keinen Code vom Gerät eines anderen Benutzers eingeben. MFAGeräte können nicht von Konten oder Benutzern gemeinsam genutzt werden.

TOTPHardware-Token und FIDOSicherheitsschlüssel sind beide physische Geräte, die Sie kaufen. MFAHardwaregeräte generieren TOTP Codes für die Authentifizierung, wenn Sie sich anmelden AWS. Sie sind auf Batterien angewiesen, die im AWS Laufe der Zeit möglicherweise ausgetauscht und neu synchronisiert werden müssen. FIDOSicherheitsschlüssel, die Kryptografie mit öffentlichen Schlüsseln verwenden, benötigen keine Batterien und bieten einen nahtlosen Authentifizierungsprozess. Wir empfehlen die Verwendung von FIDO Sicherheitsschlüsseln aufgrund ihrer Phishing-Resistenz, die eine sicherere Alternative zu TOTP Geräten darstellt. Darüber hinaus können FIDO Sicherheitsschlüssel mehrere Benutzer IAM oder Root-Benutzer auf demselben Gerät unterstützen, wodurch ihr Nutzen für die Kontosicherheit verbessert wird. Spezifikationen und Kaufinformationen für beide Gerätetypen finden Sie unter Multifaktor-Authentifizierung.

Sie können ein TOTP Hardware-Token für einen IAM Benutzer über die AWS Management Console, die Befehlszeile oder den aktivieren IAMAPI. Informationen zum Aktivieren eines MFA Geräts für Sie Root-Benutzer des AWS-Kontos finden Sie unterAktivieren Sie ein TOTP Hardware-Token für den Root-Benutzer (Konsole).

Sie können bis zu acht MFA Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA Typen bei Ihnen Root-Benutzer des AWS-Kontos und Ihren IAM Benutzern registrieren. Bei mehreren MFA Geräten benötigen Sie nur ein MFA Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS Management Console oder eine Sitzung über den zu erstellen.

Wichtig

Wir empfehlen Ihnen, mehrere MFA Geräte für Ihre Benutzer zu aktivieren, damit sie weiterhin auf Ihr Konto zugreifen können, falls ein MFA Gerät verloren geht oder nicht darauf zugegriffen werden kann.

Anmerkung

Wenn Sie das MFA Gerät über die Befehlszeile aktivieren möchten, verwenden Sie aws iam enable-mfa-device. Um das MFA Gerät mit dem zu aktivieren IAMAPI, verwenden Sie den EnableMFADeviceVorgang.

Themen

Erforderliche Berechtigungen
Aktivieren Sie ein TOTP Hardware-Token für Ihren eigenen IAM Benutzer (Konsole)
Aktivieren Sie ein TOTP Hardware-Token für einen anderen IAM Benutzer (Konsole)
Tauschen Sie ein physisches MFA Gerät aus

Erforderliche Berechtigungen

Um ein TOTP Hardware-Token für Ihren eigenen IAM Benutzer zu verwalten und gleichzeitig sensible MFA Aktionen zu schützen, benötigen Sie die Berechtigungen gemäß der folgenden Richtlinie:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Aktivieren Sie ein TOTP Hardware-Token für Ihren eigenen IAM Benutzer (Konsole)

Sie können Ihr eigenes TOTP Hardware-Token über den aktivieren AWS Management Console.

Anmerkung

Bevor Sie ein TOTP Hardware-Token aktivieren können, müssen Sie physischen Zugriff auf das Gerät haben.

Um ein TOTP Hardware-Token für Ihren eigenen IAM Benutzer (Konsole) zu aktivieren

Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM Benutzernamen und Ihr Passwort, um sich an der IAMKonsole anzumelden.

Anmerkung
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie Melden Sie sich bei einem anderen Konto an Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM Benutzeranmeldeseite für Ihr Konto weitergeleitet zu werden.

Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.
Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann Security Credentials (Sicherheitsanmeldeinformationen) aus.
Wählen Sie auf der Registerkarte AWS IAMAnmeldeinformationen im Abschnitt Multi-Faktor-Authentifizierung (MFA) die Option MFAGerät zuweisen aus.
Geben Sie im Assistenten einen Gerätenamen ein, wählen Sie TOTPHardware-Token und dann Weiter aus.
Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.
Geben Sie in das Feld MFACode 1 die sechsstellige Zahl ein, die vom MFA Gerät angezeigt wird. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.
Warten Sie 30 Sekunden, bis das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Zahl in das Feld MFACode 2 ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.
Wählen Sie „Hinzufügen“. MFA

Wichtig
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes generieren und dann zu lange warten, um die Anfrage zu senden, verbindet sich das MFA Gerät erfolgreich mit dem Benutzer, aber das MFA Gerät ist nicht mehr synchron. Dies liegt daran, dass zeitbasierte Einmalkennwörter (TOTP) nach kurzer Zeit ablaufen. In diesem Fall können Sie das Gerät neu synchronisieren.

Das Gerät ist bereit für die Verwendung mit AWS. Informationen zur Verwendung MFA mit dem AWS Management Console finden Sie unterMFAAnmeldung aktiviert.

Aktivieren Sie ein TOTP Hardware-Token für einen anderen IAM Benutzer (Konsole)

Sie können ein TOTP Hardware-Token für einen anderen IAM Benutzer über den aktivieren AWS Management Console.

Um ein TOTP Hardware-Token für einen anderen IAM Benutzer zu aktivieren (Konsole)

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.
Klicken Sie im Navigationsbereich auf Users (Benutzer).
Wählen Sie den Namen des Benutzers aus, für den Sie die Aktivierung durchführen möchtenMFA.
Wechseln Sie zur Registerkarte Security Credentials. Wählen Sie unter Multi-Faktor-Authentifizierung (MFA) die Option MFAGerät zuweisen aus.
Geben Sie im Assistenten einen Gerätenamen ein, wählen Sie TOTPHardware-Token und dann Weiter aus.
Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.
Geben Sie in das Feld MFACode 1 die sechsstellige Zahl ein, die vom MFA Gerät angezeigt wird. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.
Warten Sie 30 Sekunden, bis das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Zahl in das Feld MFACode 2 ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.
Wählen Sie „Hinzufügen“. MFA

Wichtig
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes generieren und dann zu lange warten, um die Anfrage zu senden, verbindet sich das MFA Gerät erfolgreich mit dem Benutzer, aber das MFA Gerät ist nicht mehr synchron. Dies liegt daran, dass zeitbasierte Einmalkennwörter (TOTP) nach kurzer Zeit ablaufen. In diesem Fall können Sie das Gerät neu synchronisieren.

Das Gerät ist bereit für die Verwendung mit AWS. Informationen zur Verwendung MFA mit dem AWS Management Console finden Sie unterMFAAnmeldung aktiviert.

Tauschen Sie ein physisches MFA Gerät aus

Sie können einem Benutzer bis zu acht MFA Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA Typen gleichzeitig zuweisen, zusammen mit Ihren IAM Benutzern Root-Benutzer des AWS-Kontos und Benutzern. Wenn der Benutzer ein Gerät verliert oder aus anderweitigen Gründen das Gerät ersetzen möchte, müssen Sie zunächst das alte Gerät deaktivieren. Anschließend können Sie das neue Gerät für den Benutzer hinzufügen.

Um ein gegenwärtig mit einem Benutzer verknüpftes Gerät zu deaktivieren, siehe Deaktiviere ein MFA Gerät.
Gehen Sie wie im Verfahren weiter Aktivieren Sie ein TOTP Hardware-Token für einen anderen IAM Benutzer (Konsole) oben in diesem Thema beschrieben vor, um ein TOTP Ersatz-Hardware-Token für einen IAM Benutzer hinzuzufügen.
Gehen Sie wie im Verfahren weiter oben in diesem Thema beschrieben vor Root-Benutzer des AWS-Kontos, um ein TOTP Aktivieren Sie ein TOTP Hardware-Token für den Root-Benutzer (Konsole) Ersatz-Hardwaretoken für das hinzuzufügen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Weisen Sie ein virtuelles MFA Gerät zu

MFAGeräte im AWS CLI oder zuweisen AWS API