# AWS 账户根用户 的多重身份验证
<a name="enable-mfa-for-root"></a>

**重要**  
AWS 建议您在登录 AWS 时，尽可能使用通行密钥或安全密钥，因为它们更能抵御网络钓鱼等攻击。有关更多信息，请参阅 [通行密钥和安全密钥](#passkeys-security-keys-for-root)。

多重身份验证 (MFA) 是一种用于增强安全性的简单而有效的机制。第一个因素（密码）是您记住的秘密，也称为知识因素。其他因素可以是拥有因素（您拥有的东西，例如安全密钥）或固有因素（您与生俱来的东西，例如生物识别扫描）。为增强安全性，我们强烈建议您配置多重身份验证（MFA）以帮助保护 AWS 资源。

**注意**  
所有 AWS 账户 账户类型（独立账户、管理账户和成员账户）都需要为其根用户配置 MFA。如果尚未启用 MFA，则用户必须在首次登录尝试访问 AWS 管理控制台后 35 天内注册 MFA。

您可以为 AWS 账户根用户 和 IAM 用户启用 MFA。当您为根用户启用 MFA 时，它仅影响根用户凭证。有关如何为 IAM 用户启用 MFA 的更多信息，请参阅 [IAM 中的 AWS 多重身份验证](id_credentials_mfa.md)。

**注意**  
使用 AWS Organizations 托管的 AWS 账户可以选择[集中管理成员账户的根访问权限](id_root-user.md#id_root-user-access-management)，以防止凭证恢复和大规模访问。如果启用此选项，则可以从成员账户中删除根用户凭证，包括密码和 MFA，从而有效地阻止以根用户身份登录、进行密码恢复或设置 MFA。或者，如果您希望维护基于密码的登录方法，请通过注册 MFA 来保护您的账户，以增强账户保护。

为您的根用户启用 MFA 之前，请查看并[更新您的账户设置和联系信息](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)，以确保您可以访问电子邮件和电话号码。如果您的 MFA 设备丢失、被盗或无法工作，您仍可以通过使用相应的电子邮件和电话号码验证您的身份，以作为根用户登录。要了解如何使用替代的身份验证因素登录，请参阅 [在 IAM 中恢复受 MFA 保护的身份](id_credentials_mfa_lost-or-broken.md)。要禁用此功能，请联系 [AWS 支持](https://console.aws.amazon.com/support/home#/)。

AWS 为根用户支持以下 MFA 类型：
+ [通行密钥和安全密钥](#passkeys-security-keys-for-root)
+ [虚拟身份验证器应用程序](#virtual-auth-apps-for-root)
+ [硬件 TOTP 令牌](#hardware-totp-token-for-root)

## 通行密钥和安全密钥
<a name="passkeys-security-keys-for-root"></a>

AWS Identity and Access Management 对 MFA 支持通行密钥和安全密钥。基于 FIDO 标准，通行密钥使用公有密钥加密技术来提供比密码更安全的强大防网络钓鱼身份验证。AWS 支持两种类型的通行密钥：设备绑定通行密钥（安全密钥）和同步通行密钥。
+ **安全密钥**：这些是物理设备，例如 YubiKey，用作身份验证的第二个因素。单个安全密钥可以支持多个根用户账户和 IAM 用户。
+ **同步通行密钥**：它们使用来自 Google、Apple、Microsoft 账户等提供商的凭证管理器以及第三方服务（例如 1Password、Dashlane 和 Bitwarden）作为第二个因素。

您可以使用内置生物识别身份验证器（例如，Apple MacBook 上的 Touch ID）来解锁凭证管理器并登录 AWS。通行密钥是通过您选择的提供商使用您的指纹、面部或设备 PIN 创建的。您还可以使用一台设备（如移动设备或硬件安全密钥）上的跨设备身份验证 (CDA) 密钥在另一台设备（如笔记本电脑）上登录。有关更多信息，请参阅[跨设备身份验证](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA)。

您可以跨设备同步通行密钥以方便登录 AWS，从而增强可用性和可恢复性。有关启用通行密钥和安全密钥的更多信息，请参阅 [为根用户启用密钥或安全密钥（控制台）](enable-fido-mfa-for-root.md)。

FIDO 联盟维护一份与 FIDO 规范兼容的所有经 [FIDO 认证产品](https://fidoalliance.org/certification/fido-certified-products/)的列表。

## 虚拟身份验证器应用程序
<a name="virtual-auth-apps-for-root"></a>

虚拟身份验证器应用程序在电话或其他设备上运行，并模拟物理设备。虚拟身份验证器应用程序采用[基于时间的一次性密码](https://datatracker.ietf.org/doc/html/rfc6238)（TOTP）算法，并支持单个设备上的多个令牌。在登录期间，用户必须在出现提示时从该设备键入有效代码。分配给用户的每个令牌必须是唯一的。用户无法从另一个用户的令牌键入代码来进行身份验证。

我们建议您在等待硬件购买批准或等待硬件到达时使用虚拟 MFA 设备。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表，请参阅[多重身份验证（MFA）](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。有关使用 AWS 设置虚拟 MFA 设备的说明，请参阅 [为根用户启用虚拟 MFA 设备（控制台）](enable-virt-mfa-for-root.md)。

## 硬件 TOTP 令牌
<a name="hardware-totp-token-for-root"></a>

硬件设备以[基于时间的一次性密码（TOTP）算法](https://datatracker.ietf.org/doc/html/rfc6238)为基础生成六位数字代码。在登录时，用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每台 MFA 设备必须是唯一的。用户无法从另一个用户的设备键入代码来进行身份验证。有关受支持硬件 MFA 设备的信息，请参阅[多重身份验证（MFA）](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。有关使用 AWS 设置硬件 TOTP 令牌的说明，请参阅 [为根用户启用硬件 TOTP 令牌（控制台）](enable-hw-mfa-for-root.md)。

如果想使用物理 MFA 设备，我们建议使用 FIDO 安全密钥来代替硬件 TOTP 设备。FIDO 安全密钥具有无需电池、可抵御网络钓鱼的优点，并且支持在单台设备上使用多个根用户和 IAM 用户，从而增强安全性。

**Topics**
+ [通行密钥和安全密钥](#passkeys-security-keys-for-root)
+ [虚拟身份验证器应用程序](#virtual-auth-apps-for-root)
+ [硬件 TOTP 令牌](#hardware-totp-token-for-root)
+ [为根用户启用密钥或安全密钥（控制台）](enable-fido-mfa-for-root.md)
+ [为根用户启用虚拟 MFA 设备（控制台）](enable-virt-mfa-for-root.md)
+ [为根用户启用硬件 TOTP 令牌（控制台）](enable-hw-mfa-for-root.md)