Weisen Sie ein virtuelles MFA Gerät zu in der AWS Management Console - AWS Identitäts- und Zugriffsverwaltung
Erforderliche BerechtigungenAktivieren Sie ein virtuelles MFA Gerät für einen IAM Benutzer (Konsole)Tauschen Sie ein virtuelles Gerät MFA aus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Weisen Sie ein virtuelles MFA Gerät zu in der AWS Management Console

Sie können ein Telefon oder ein anderes Gerät als virtuelles Multi-Faktor-Authentifizierungsgerät (MFA) verwenden. Installieren Sie dazu eine mobile App, die RFC6238, einem standardbasierten Algorithmus TOTP (zeitbasiertes Einmalpasswort), entspricht. Diese Apps generieren einen sechsstelligen Authentifizierungscode. Da sie auf ungesicherten Mobilgeräten ausgeführt werden können, bieten virtuelle Geräte MFA möglicherweise nicht das gleiche Sicherheitsniveau wie Phishing-resistente Optionen wie Sicherheitsschlüssel und Hauptschlüssel. FIDO2

Wenn Sie erwägen, auf FIDO2 Sicherheitsschlüssel umzusteigen, empfehlen wir Ihnen dringendMFA, weiterhin ein virtuelles MFA Gerät zu verwenden, während Sie auf etwaige Genehmigungen für den Kauf von Hardware oder auf das Eintreffen Ihrer Hardware warten.

Die meisten virtuellen MFA Apps unterstützen die Erstellung mehrerer virtueller Geräte, sodass Sie dieselbe App für mehrere AWS-Konten oder mehrere Benutzer verwenden können. Sie können bis zu acht MFA Geräte beliebiger MFATypkombinationen bei Ihnen Root-Benutzer des AWS-Kontos und Ihren IAM Benutzern registrieren. Sie benötigen nur ein MFA Gerät, um sich bei anzumelden AWS Management Console oder eine Sitzung über zu erstellen AWS CLI. Wir empfehlen, dass Sie mehrere MFA Geräte registrieren. Für Authentifizierungsanwendungen empfehlen wir außerdem, das Cloud-Backup oder das Synchronisierungs-Feature zu aktivieren, um zu verhindern, dass Sie den Zugriff auf Ihr Konto verlieren, wenn Sie Ihr Gerät verlieren oder kaputt gehen.

AWS benötigt eine virtuelle MFA App, die eine sechsstellige Zahl OTP ausgibt. Eine Liste der virtuellen MFA Apps, die Sie verwenden können, finden Sie unter Multi-Faktor-Authentifizierung.

Erforderliche Berechtigungen

Um virtuelle MFA Geräte für Ihren IAM Benutzer zu verwalten, benötigen Sie die Berechtigungen gemäß der folgenden Richtlinie:AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern die Verwaltung ihres eigenen MFA-Geräts auf der Seite „Sicherheits-Anmeldeinformationen“.

Aktivieren Sie ein virtuelles MFA Gerät für einen IAM Benutzer (Konsole)

Sie können es verwenden IAM AWS Management Console , um ein virtuelles MFA Gerät für einen IAM Benutzer in Ihrem Konto zu aktivieren und zu verwalten. Sie können Tags an Ihre IAM Ressourcen, einschließlich virtueller MFA Geräte, anhängen, um sie zu identifizieren, zu organisieren und den Zugriff darauf zu kontrollieren. Sie können virtuelle MFA Geräte nur taggen, wenn Sie das AWS CLI oder verwenden AWS API. Informationen zum Aktivieren und Verwalten eines MFA Geräts mithilfe von AWS CLI oder AWS API finden Sie unterZuweisen von MFA-Geräten in der AWS CLI oder AWS API. Weitere Informationen über das Markieren von IAM-Ressourcen mit Tags finden Sie unter Tags für AWS Identity and Access Management-Ressourcen.

Anmerkung

Für die Konfiguration benötigen Sie physischen Zugriff auf die Hardware, auf der das virtuelle MFA Gerät des Benutzers gehostet wirdMFA. Sie können die Konfiguration beispielsweise MFA für einen Benutzer konfigurieren, der ein virtuelles MFA Gerät verwendet, das auf einem Smartphone ausgeführt wird. In diesem Fall müssen Sie das Smartphone zur Verfügung haben, um den Assistenten zu beenden. Aus diesem Grund möchten Sie es Benutzern möglicherweise ermöglichen, ihre eigenen virtuellen MFA Geräte zu konfigurieren und zu verwalten. In diesem Fall müssen Sie den Benutzern die Berechtigungen zur Ausführung der erforderlichen IAM-Aktionen erteilen. Weitere Informationen und ein Beispiel für eine IAM Richtlinie, die diese Berechtigungen gewährt, finden Sie in der IAM-Tutorial: Zulassen, dass Ihre Benutzer ihre eigenen Anmeldeinformationen und MFA-Einstellungen konfigurieren können BeispielrichtlinieAWS: Ermöglicht MFA-authentifizierten IAM-Benutzern die Verwaltung ihres eigenen MFA-Geräts auf der Seite „Sicherheits-Anmeldeinformationen“.

So aktivieren Sie ein virtuelles MFA Gerät für einen IAM Benutzer (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie in der Benutzerliste den Namen des IAM Benutzers aus.

  4. Wechseln Sie zur Registerkarte Security Credentials. Wählen Sie unter Multi-Faktor-Authentifizierung (MFA) die Option MFAGerät zuweisen aus.

  5. Geben Sie im Assistenten einen Device name (Gerätenamen) ein, wählen Sie Authenticator app (Authenticator-App) und dann Next (Weiter).

    IAMgeneriert und zeigt Konfigurationsinformationen für das virtuelle MFA Gerät an, einschließlich einer QR-Code-Grafik. Dieser Code ist eine grafische Darstellung des "geheimen Konfigurationsschlüssels", der für die manuelle Eingabe auf Geräte zur Verfügung steht, die keine QR-Codes unterstützen.

  6. Öffnen Sie Ihre virtuelle MFA App. Eine Liste der Apps, die Sie zum Hosten virtueller MFA Geräte verwenden können, finden Sie unter Multi-Faktor-Authentifizierung.

    Wenn die virtuelle MFA App mehrere virtuelle MFA Geräte oder Konten unterstützt, wählen Sie die Option, um ein neues virtuelles MFA Gerät oder Konto zu erstellen.

  7. Stellen Sie fest, ob die MFA App QR-Codes unterstützt, und führen Sie dann einen der folgenden Schritte aus:

    • Wählen Sie im Assistenten Show QR code (QR-Code anzeigen) und verwenden Sie dann die App, um den QR-Code zu scannen. Dies kann ein Kamerasymbol oder die Option Code scannen sein, bei der der Code mit der Kamera des Geräts gescannt wird.

    • Wählen Sie im Assistenten die Option Geheimen Schlüssel anzeigen aus und geben Sie dann den geheimen Schlüssel in Ihre MFA App ein.

    Wenn Sie fertig sind, beginnt das virtuelle MFA Gerät mit der Generierung von Einmalkennwörtern.

  8. Geben Sie auf der Seite Gerät einrichten in das Feld MFACode 1 das Einmalkennwort ein, das derzeit auf dem virtuellen MFA Gerät angezeigt wird. Warten Sie bis zu 30 Sekunden, bis das Gerät ein neues einmaliges Passwort generiert. Geben Sie dann das zweite Einmalkennwort in das Feld MFACode 2 ein. Wählen Sie HinzufügenMFA aus.

    Wichtig

    Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und dann zu lange warten, um die Anfrage zu senden, verbindet sich das MFA Gerät erfolgreich mit dem Benutzer, aber das MFA Gerät ist nicht synchron. Dies liegt daran, dass zeitbasierte Einmalkennwörter (TOTP) nach kurzer Zeit ablaufen. In diesem Fall können Sie das Gerät neu synchronisieren.

Das virtuelle MFA Gerät ist jetzt bereit für die Verwendung mit AWS. Informationen zur Verwendung MFA mit dem AWS Management Console finden Sie unterAnmeldung mit MFA.

Anmerkung

Nicht zugewiesene virtuelle MFA Geräte in Ihrem AWS-Konto werden gelöscht, wenn Sie entweder über den AWS Management Console oder während des Anmeldevorgangs neue virtuelle MFA Geräte hinzufügen. Nicht zugewiesene virtuelle MFA Geräte sind Geräte in Ihrem Konto, die jedoch nicht vom Root-Benutzer oder IAM Benutzern des Kontos für den Anmeldevorgang verwendet werden. Sie werden gelöscht, sodass neue virtuelle MFA Geräte zu Ihrem Konto hinzugefügt werden können. Außerdem können Sie Gerätenamen wiederverwenden.

  • Um nicht zugewiesene virtuelle MFA Geräte in Ihrem Konto anzuzeigen, können Sie entweder den list-virtual-mfa-devices AWS CLI Befehl oder den APIAnruf verwenden.

  • Um ein virtuelles MFA Gerät zu deaktivieren, können Sie entweder den deactivate-mfa-device AWS CLI Befehl oder den APIAnruf verwenden. Die Zuweisung des Geräts wird aufgehoben.

  • Um Ihrem AWS-Konto Root-Benutzer oder Ihren IAM Root-Benutzern ein nicht zugewiesenes virtuelles MFA Gerät zuzuordnen, benötigen Sie den vom Gerät generierten Authentifizierungscode zusammen mit dem enable-mfa-device AWS CLI Befehl oder APIdem Anruf.

Tauschen Sie ein virtuelles Gerät MFA aus

Sie Root-Benutzer des AWS-Kontos und Ihre IAM Benutzer können bis zu acht MFA Geräte beliebiger MFA Typkombinationen registrieren. Wenn der Benutzer ein Gerät verliert oder es aus irgendeinem Grund ersetzen muss, deaktivieren Sie das alte Gerät. Anschließend können Sie das neue Gerät für den Benutzer hinzufügen.