已启用 MFA 的登录
配置了多重身份验证(MFA)设备的用户必须使用其 MFA 设备登录 AWS Management Console。在用户输入其登录凭证后,AWS 将检查用户的账户以查看该用户是否需要 MFA。以下主题介绍了用户在需要使用 MFA 时如何完成登录。
多个已启用 MFA 的设备
如果用户以 AWS 账户 根用户或 IAM 用户的身份登录 AWS Management Console,且为该账户启用了多个 MFA 设备,则他们只需要使用一台 MFA 设备即可登录。用户使用用户密码进行身份验证后,他们可以选择要使用哪种 MFA 设备类型来完成身份验证。然后,系统会提示用户使用他们选择的设备类型来进行身份验证。
FIDO 安全密钥
如果 MFA 是用户必须使用的,则会显示另一个登录页面。用户需要点击 FIDO 安全密钥。
注意
Google Chrome 用户不应选择弹出窗口中的任何要求 Verify your identity with amazon.com(通过 amazon.com 验证您的身份)的可用选项。您只需要点击安全密钥即可。
与其他 MFA 设备不同,FIDO 安全密钥不同步。如果 FIDO 安全密钥丢失或损坏,管理员可以停用它。有关更多信息,请参阅 停用 MFA 设备(控制台)。
有关支持 AWS 所支持的 WebAuthn 和 FIDO 合规设备的浏览器的信息,请参阅 使用密钥或安全密钥的受支持配置。
虚拟 MFA 设备
如果 MFA 是用户必须使用的,则会显示另一个登录页面。在 MFA code (MFA 代码) 框中,用户必须输入 MFA 应用程序提供的数字代码。
如果 MFA 代码正确,则用户可以访问 AWS Management Console。如果代码不正确,则用户可以使用其他代码重试。
虚拟 MFA 设备可能会不同步。如果用户尝试多次后都无法登录 AWS Management Console,系统将提示用户同步虚拟 MFA 设备。用户可以按照屏幕上的提示同步虚拟 MFA 设备。有关如何在您的 AWS 账户 中同步代表用户的设备的信息,请参阅 重新同步虚拟和硬件 MFA 设备。
硬件 TOTP 令牌
如果 MFA 是用户必须使用的,则会显示另一个登录页面。在 MFA code(MFA 代码)框中,用户必须输入硬件 TOTP 令牌提供的数字代码。
如果 MFA 代码正确,则用户可以访问 AWS Management Console。如果代码不正确,则用户可以使用其他代码重试。
硬件 TOTP 令牌可能会不同步。如果用户尝试多次后都无法登录 AWS Management Console,系统将提示用户同步 MFA 令牌设备。用户可以根据屏幕上的提示同步 MFA 令牌设备。有关如何在您的 AWS 账户 中同步代表用户的设备的信息,请参阅 重新同步虚拟和硬件 MFA 设备。
