Tetapkan TOTP token perangkat keras di AWS Management Console - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tetapkan TOTP token perangkat keras di AWS Management Console

TOTPToken perangkat keras menghasilkan kode numerik enam digit berdasarkan algoritma kata sandi satu kali () berbasis waktu. TOTP Pengguna harus memasukkan kode yang valid dari perangkat saat diminta selama proses masuk. Setiap MFA perangkat yang ditetapkan untuk pengguna harus unik; pengguna tidak dapat mengetik kode dari perangkat pengguna lain untuk diautentikasi. MFAperangkat tidak dapat dibagikan di seluruh akun atau pengguna.

TOTPToken perangkat keras dan kunci FIDO keamanan adalah perangkat fisik yang Anda beli. Perangkat MFA perangkat keras menghasilkan TOTP kode untuk otentikasi saat Anda masuk AWS. Mereka mengandalkan baterai, yang mungkin perlu penggantian dan sinkronisasi ulang AWS seiring waktu. FIDOkunci keamanan, yang menggunakan kriptografi kunci publik, tidak memerlukan baterai dan menawarkan proses otentikasi yang mulus. Sebaiknya gunakan kunci FIDO keamanan untuk ketahanan phishing mereka, yang memberikan alternatif yang lebih aman untuk TOTP perangkat. Selain itu, kunci FIDO keamanan dapat mendukung beberapa IAM atau pengguna root pada perangkat yang sama, meningkatkan utilitas mereka untuk keamanan akun. Untuk spesifikasi dan informasi pembelian untuk kedua jenis perangkat, lihat Autentikasi Multi-Faktor.

Anda dapat mengaktifkan TOTP token perangkat keras untuk IAM pengguna dari AWS Management Console, baris perintah, atau file IAMAPI. Untuk mengaktifkan MFA perangkat untuk Anda Pengguna root akun AWS, lihatAktifkan TOTP token perangkat keras untuk pengguna root (konsol).

Anda dapat mendaftarkan hingga delapan MFA perangkat dari kombinasi MFAjenis yang saat ini didukung dengan Anda Pengguna root akun AWS dan IAM pengguna. Dengan beberapa MFA perangkat, Anda hanya perlu satu MFA perangkat untuk masuk ke AWS Management Console atau membuat sesi melalui AWS CLI sebagai pengguna tersebut.

penting

Kami menyarankan Anda mengaktifkan beberapa MFA perangkat untuk pengguna Anda untuk melanjutkan akses ke akun Anda jika MFA perangkat hilang atau tidak dapat diakses.

catatan

Jika Anda ingin mengaktifkan MFA perangkat dari baris perintah, gunakan aws iam enable-mfa-device. Untuk mengaktifkan MFA perangkat dengan IAMAPI, gunakan EnableMFADeviceoperasi.

Izin diperlukan

Untuk mengelola TOTP token perangkat keras untuk IAM pengguna Anda sendiri sambil melindungi tindakan sensitif MFA terkait, Anda harus memiliki izin dari kebijakan berikut:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Aktifkan TOTP token perangkat keras untuk IAM pengguna Anda sendiri (konsol)

Anda dapat mengaktifkan TOTP token perangkat keras Anda sendiri dari file AWS Management Console.

catatan

Sebelum Anda dapat mengaktifkan TOTP token perangkat keras, Anda harus memiliki akses fisik ke perangkat.

Untuk mengaktifkan TOTP token perangkat keras untuk IAM pengguna Anda sendiri (konsol)
  1. Gunakan ID AWS akun atau alias akun, nama IAM pengguna, dan kata sandi Anda untuk masuk ke IAMkonsol.

    catatan

    Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama IAM pengguna dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih Masuk ke akun lain dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login IAM pengguna untuk akun Anda.

    Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.

  2. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih Kredensi keamanan.

    AWS Management Console Tautan kredensi keamanan
  3. Pada tab AWS IAMkredensial, di bagian Autentikasi multi-faktor (MFA), pilih Tetapkan perangkat. MFA

  4. Di wizard, ketikkan nama Perangkat, pilih TOTPToken perangkat keras, lalu pilih Berikutnya.

  5. Ketik nomor seri perangkat. Nomor seri biasanya ada di bagian belakang perangkat.

  6. Dalam kotak MFAkode 1, ketik angka enam digit yang ditampilkan oleh perangkat. MFA Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor.

    IAMDasbor, MFA Perangkat
  7. Tunggu 30 detik saat perangkat menyegarkan kode, lalu ketik angka enam digit berikutnya ke dalam kotak kode 2. MFA Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor kedua.

  8. Pilih Tambah MFA.

    penting

    Segera kirim permintaan Anda setelah membuat kode autentikasi. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirimkan permintaan, MFA perangkat berhasil dikaitkan dengan pengguna tetapi MFA perangkat menjadi tidak sinkron. Ini terjadi karena kata sandi satu kali berbasis waktu (TOTP) kedaluwarsa setelah periode waktu yang singkat. Jika ini terjadi, Anda dapat menyinkronisasi ulang perangkat.

Perangkat siap digunakan dengan AWS. Untuk informasi tentang menggunakan MFA dengan AWS Management Console, lihatMFAmengaktifkan login.

Aktifkan TOTP token perangkat keras untuk IAM pengguna lain (konsol)

Anda dapat mengaktifkan TOTP token perangkat keras untuk IAM pengguna lain dari file AWS Management Console.

Untuk mengaktifkan TOTP token perangkat keras untuk IAM pengguna lain (konsol)
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna.

  3. Pilih nama pengguna yang ingin Anda aktifkanMFA.

  4. Pilih tab Kredensial Keamanan. Di bawah Autentikasi multi-faktor (MFA), pilih MFATetapkan perangkat.

  5. Di wizard, ketikkan nama Perangkat, pilih TOTPToken perangkat keras, lalu pilih Berikutnya.

  6. Ketik nomor seri perangkat. Nomor seri biasanya ada di bagian belakang perangkat.

  7. Dalam kotak MFAkode 1, ketik angka enam digit yang ditampilkan oleh perangkat. MFA Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor.

    IAMDasbor, MFA Perangkat
  8. Tunggu 30 detik saat perangkat menyegarkan kode, lalu ketik angka enam digit berikutnya ke dalam kotak kode 2. MFA Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor kedua.

  9. Pilih Tambah MFA.

    penting

    Segera kirim permintaan Anda setelah membuat kode autentikasi. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirimkan permintaan, MFA perangkat berhasil dikaitkan dengan pengguna tetapi MFA perangkat menjadi tidak sinkron. Ini terjadi karena kata sandi satu kali berbasis waktu (TOTP) kedaluwarsa setelah periode waktu yang singkat. Jika ini terjadi, Anda dapat menyinkronisasi ulang perangkat.

Perangkat siap digunakan dengan AWS. Untuk informasi tentang menggunakan MFA dengan AWS Management Console, lihatMFAmengaktifkan login.

Ganti MFA perangkat fisik

Anda dapat memiliki hingga delapan MFA perangkat dari kombinasi MFAjenis yang saat ini didukung yang ditetapkan untuk pengguna pada satu waktu dengan Anda Pengguna root akun AWS dan IAM pengguna. Jika pengguna kehilangan perangkat atau perlu mengganti karena alasan apa pun, Anda harus menonaktifkan perangkat lama terlebih dahulu. Kemudian Anda dapat menambahkan perangkat baru untuk pengguna.