亚马逊 CodeCatalyst 不再向新买家开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [如何从中迁移 CodeCatalyst](migration.md)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将您的 AWS 生成器 ID 配置为使用多重身份验证 (MFA) 登录
无论您创建的 AWS Builder ID 个人资料是供个人使用还是专业用途,我们都建议将多因素身份验证 (MFA) 配置为另一层安全保护。具体而言,如果您是空间成员并与其他人员协作处理项目,我们建议您配置 MFA。由于多个人员可以访问一个项目,因此出现安全漏洞的几率会更高。
启用 MFA 后,您必须 CodeCatalyst 使用电子邮件和密码登录亚马逊。登录的此部分是第一个因素,即您使用自己知道的信息。之后,您使用代码或安全密钥进行登录。这是第二个因素,即您拥有的信息。第二个因素可能是由您的移动设备生成的验证码,或通过点按已连接到计算机的安全密钥生成的验证码。总之,上述多个因素可以防止未经授权的访问,从而提高安全性。
## 如何注册设备以便在多重身份验证中使用
在**我的配置文件** > **多重身份验证**中使用以下过程来注册新设备以进行多重身份验证(MFA)。
**注意**
我们建议您先将适当的身份验证器应用程序下载到您的设备上,然后再开始执行此过程中的步骤。有关可以在 MFA 设备上使用的应用程序的列表,请参阅 [身份验证器应用程序](#id-auth-apps)。
**注册您的设备,以便在 MFA 上使用**
1. 打开 CodeCatalyst 控制台,[网址为 https://codecatalyst.aws/](https://codecatalyst.aws/)。
1. 在右上角,选择带有您的名字首字母的图标旁边的箭头,然后选择**用户个人资料**。 CodeCatalyst**个人资料**页面打开。
1. 在配置文件页面上,选择**管理配置文件和安全性**。这将打开 **AWS 构建者 ID** 配置文件页面。
1. 在该页面的左侧,选择**安全性**。
1. 在**多重身份验证**页面上,选择**注册设备**。
1. 在**注册 MFA 设备**页面上,选择以下 MFA 设备类型之一,然后按照说明进行操作:
+ **安全密钥**或**内置身份验证器**
1. 在**注册用户的安全密钥**页面上,按照浏览器或平台提供的说明进行操作。
**注意**
体验因操作系统和浏览器而异,请按照浏览器或平台显示的说明进行操作。成功注册设备后,您可以选择将友好显示名称与新注册的设备相关联。如果要更改此设置,请选择**重命名**,输入新名称,然后选择**保存**。
+ **身份验证器应用程序**
1. 在**设置身份验证器应用程序**页面上,您可能会注意到新 MFA 设备的配置信息,包括 QR 代码图形。该图表示可在不支持 QR 码的设备上手动输入的密钥。
1. 使用物理 MFA 设备,执行以下操作:
1. 打开兼容的 MFA 身份验证器应用程序。有关可以在 MFA 设备上使用的经过测试的应用程序的列表,请参阅[经过测试的身份验证器应用程序](#id-mfa-types-apps-tested)。如果 MFA 应用程序支持多个设备,请选择相应的选项以创建新的 MFA 设备。
1. 确定 MFA 应用程序是否支持 QR 码,然后在**设置身份验证器应用程序**页面上执行以下操作之一:
1. 选择**显示 QR 代码**,然后使用该应用程序扫描 QR 代码。例如,您可选择摄像头图标或选择类似于 **Scan code**(扫描代码)的选项,然后使用装置的摄像头扫描此代码。
1. 选择**显示密钥**,然后将该密钥输入到您的 MFA 应用程序中。
**重要**
当您为 AWS 构建者 ID 配置 MFA 设备时,请将 QR 代码或密钥的副本保存在安全的位置。如果您丢失手机或必须重新安装 MFA 身份验证器应用程序,这会有所帮助。如果出现上述任一情况,您可以快速重新配置应用程序,使其使用相同的 MFA 配置。
1. 在**设置身份验证器应用程序**页面的**身份验证器代码**下,输入当前显示在物理 MFA 设备上的一次性密码。
**重要**
生成代码之后立即提交您的请求。如果您生成代码后等待时间过长才提交请求,则表示 MFA 设备已成功与您的 AWS Builder ID 配置文件关联,但是 MFA 设备不同步。这是因为基于时间的一次性密码(TOTP)很快会过期。这种情况下,您可以重新同步设备。
1. 选择**分配 MFA**。MFA 设备现在可以开始生成一次性密码,而且可供使用。
## 身份验证器应用程序
身份验证器应用程序是基于一次性密码(OTP)的第三方身份验证器。用户可将安装在移动设备或平板电脑上的身份验证器应用程序用作授权的 MFA 设备。第三方身份验证器应用程序必须符合 RFC 6238,这是一种基于标准的 TOTP(基于时间的一次性密码)算法,且能够生成六位数身份验证码。
提示进行多重身份验证时,用户必须在显示的输入框中输入来自其身份验证器应用程序的有效代码。分配给用户的每台 MFA 设备必须是唯一的。可为任意给定用户注册两个身份验证器应用程序。
### 经过测试的身份验证器应用程序
任何符合 TOTP 的应用程序都可以使用 IAM Identity Center MFA,下表列出了已知的第三方身份验证器应用程序以供选择。
| 操作系统 | 经过测试的身份验证器应用程序 |
| --- | --- |
| Android | [Authy](https://play.google.com/store/apps/details?id=com.authy.authy) [、[Duo Mobile](https://play.google.com/store/apps/details?id=com.duosecurity.duomobile)、[LastPass 身份验证器](https://play.google.com/store/apps/details?id=com.lastpass.authenticator)、微[软身份验证器、谷歌身份验证器](https://play.google.com/store/apps/details?id=com.azure.authenticator)](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) |
| iOS | [Authy](https://apps.apple.com/us/app/authy/id494168017) [、[Duo Mobile](https://apps.apple.com/us/app/duo-mobile/id422663827)、[LastPass 身份验证器](https://apps.apple.com/us/app/lastpass-authenticator/id1079110004)、微[软身份验证器、谷歌身份验证器](https://apps.apple.com/us/app/microsoft-authenticator/id983156458)](https://apps.apple.com/us/app/google-authenticator/id388497605) |
## 更改 MFA 设备
注册 MFA 设备后,您可以更改其名称或将其删除。建议您始终启用至少一台 MFA 设备以增加一层安全性。您可以注册最多五台设备。要了解如何添加更多设备,请参阅[如何注册设备以便在多重身份验证中使用](#id-how-to-register)。
### 重命名 MFA 设备
**重命名 MFA 设备**
1. 打开 CodeCatalyst 控制台,[网址为 https://codecatalyst.aws/](https://codecatalyst.aws/)。
1. 在右上角,选择带有您的名字首字母的图标旁边的箭头,然后选择**用户个人资料**。 CodeCatalyst**个人资料**页面打开。
1. 在配置文件页面上,选择**管理配置文件和安全性**。这将打开 **AWS 构建者 ID** 配置文件页面。
1. 选择页面左侧的**多重身份验证**。在进入此页面后,您将看到**重命名**已灰显。
1. 选择要更改的 MFA 设备。选择**重命名**。这将弹出一个模式。
1. 在打开的提示中,在 **MFA 设备名称**中输入新名称,然后选择**重命名**。重命名的设备将显示在**多重身份验证 (MFA) 设备**下。
### 删除 MFA 设备
**删除 MFA 设备**
1. 打开 CodeCatalyst 控制台,[网址为 https://codecatalyst.aws/](https://codecatalyst.aws/)。
1. 在右上角,选择带有您的名字首字母的图标旁边的箭头,然后选择**用户个人资料**。 CodeCatalyst**个人资料**页面打开。
1. 在配置文件页面上,选择**管理配置文件和安全性**。这将打开 **AWS 构建者 ID** 配置文件页面。
1. 选择页面左侧的**多重身份验证**。在进入此页面后,您将看到**删除**已灰显。
1. 选择要更改的 MFA 设备。选择**删除**。这将显示一个**删除 MFA 设备?** 模式。按照说明操作以删除设备。
1. 选择**删除**。已删除设备将不再显示在**多重身份验证 (MFA) 设备**下。