本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 AWS 构建者 ID 多重身份验证(MFA)
多重身份验证 (MFA) 是一种用于增强安全性的简单而有效的机制。第一个因素(密码)是您记住的秘密,也称为知识因素。其他因素可以是拥有因素(您拥有的东西,例如安全密钥)或固有因素(您与生俱来的东西,例如生物识别扫描)。我们强烈建议您配置 MFA,以便为 AWS 构建者 ID 增加额外一层保护。
建议注册多个 MFA 设备。例如,您可以注册内置身份验证器,也可以注册保存在物理安全位置的安全密钥。如果您无法使用内置身份验证器,则可以使用已注册的安全密钥。对于身份验证器应用程序,您也在这些应用中启用云备份功能或同步功能。这可有助于避免在 MFA 设备丢失或损坏的情况下,失去对配置文件的访问权限。
注意
我们建议您定期检查已注册的 MFA 设备,确保它们处于最新状态且能正常运行。此外,不使用时,应将这些装置存放在物理安全位置。如果您失去了对所有已注册 MFA 设备的访问权限,您将无法恢复您的 AWS 构建者 ID。
适用于 AWS 构建者 ID 的 MFA 类型
AWS 构建者 ID 支持以下多重身份验证 (MFA) 设备类型。
FIDO2 身份验证器
FIDO2
AWS 支持 FIDO 身份验证器的两种最常见外形规格:内置身份验证器和安全密钥。有关最常见的 FIDO 身份验证器类型的更多信息,请参阅下文。
内置身份验证器
部分装置配有内置身份验证器,例如 MacBook 上的 TouchID 或与 Windows Hello 兼容的摄像机。如果您的装置与 FIDO 协议(包括 WebAuth)兼容,则可将指纹或面部识别作为第二要素。有关更多信息,请参见 FIDO 身份验证
安全密钥
您可购买与 FIDO2 兼容的外部 USB、BLE 或 NFC 连接的安全密钥。系统提示您输入来自 MFA 设备的验证码时,请点击密钥的传感器。YubiKey 或 Feitian 是兼容装置。有关所有兼容安全密钥的列表,请参阅 FIDO 认证产品
密码管理器、密钥提供程序和其他 FIDO 身份验证器
多个第三方提供商支持移动应用程序中的 FIDO 身份验证,例如密码管理器中的功能、带有 FIDO 模式的智能卡以及其他外形规格。这些兼容 FIDO 的设备可以与 IAM Identity Center 配合使用,但我们建议您在为 MFA 启用此选项之前亲自测试 FIDO 身份验证器。
注意
有些 FIDO 身份验证器可以创建可发现的 FIDO 凭证,称为密钥。密钥可以绑定到创建密钥的设备,也可以同步并备份到云端。例如,您可以在支持的 Macbook 上使用 Apple Touch ID 注册密钥,然后按照登录时屏幕上的提示使用 Google Chrome,在 iCloud 中使用密钥从 Windows 笔记本电脑登录网站。有关哪些装置支持可同步密钥以及当前密钥在操作系统和浏览器之间的互操作性的更多信息,请参阅 passkeys.dev
身份验证器应用程序
身份验证器应用程序是基于一次性密码(OTP)的第三方身份验证器。您可将安装在移动装置或平板电脑上的身份验证器应用程序用作授权的 MFA 设备。第三方身份验证器应用程序必须符合 RFC 6238,这是一种标准的基于时间的一次性密码(TOTP)算法,且能够生成六位数身份验证码。
提示进行多重身份验证时,务必在显示的输入框中输入来自身份验证器应用程序的有效代码。分配给用户的每台 MFA 设备必须是唯一的。可为任意给定用户注册两个身份验证器应用程序。
您可从以下常见的第三方身份验证器应用程序中进行选择。但是,任何符合 TOTP 的应用程序都必须支持 AWS 构建者 ID MFA。
| 操作系统 | 经过测试的身份验证器应用程序 |
|---|---|
| Android | 1Password |
| iOS | 1Password |
注册 AWS 构建者 ID MFA 设备
注意
注册 MFA 后,退出登录,然后在同一装置上重新登录,系统可能不会提示您在受信任的装置上进行 MFA。
使用身份验证器应用程序注册 MFA 设备
登录 AWS 构建者 ID 配置文件,网址为 https://profile.aws.amazon.com
。 -
选择安全性。
-
在 Security(安全性)页面上,选择 Register device(注册装置)。
-
在 Register MFA device(注册 MFA 设备)页面上,选择 Authenticator app(身份验证器应用程序)。
-
AWS 构建者 ID 可运行并显示配置信息,包括 QR 代码图形。此图形是秘密配置密钥的表示形式,适用于不支持 QR 代码的身份验证器应用程序上的手动输入。
-
打开身份验证器应用程序。如需了解应用程序列表,请参阅 身份验证器应用程序。
如果身份验证器应用程序支持多个 MFA 设备或账户,请选择相应的选项以创建新的 MFA 设备或账户。
-
确定 MFA 应用程序是否支持 QR 代码,然后在 Set up your authenticator app(设置身份验证器应用程序)页面上执行以下操作之一:
-
选择 Show QR code(显示 QR 代码),然后使用该应用程序扫描 QR 代码。例如,您可选择摄像头图标或选择类似于 Scan code(扫描代码)的选项,然后使用装置的摄像头扫描此代码。
-
选择 Show secret key(显示密钥),然后将该密钥输入到 MFA 应用程序中。
完成输入后,您的身份验证器应用程序将生成并显示一次性密码。
-
-
在 Authenticator code(身份验证器代码)框中,输入当前显示在身份验证器应用程序中的一次性密码。选择 Assign MFA (分配 MFA)。
重要
生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与 AWS 构建者 ID 关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步装置。有关更多信息,请参阅 尝试使用身份验证器应用程序注册或登录时,收到“An unexpected error has occurred”(出现意外错误)消息。
-
如需在 AWS 构建者 ID 中为装置取个友好名称,请选择重命名。此名称可帮助您区分此装置和您注册的其他装置。
MFA 设备现在已准备好与 AWS 构建者 ID 一起使用了。
将安全密钥注册为您的 AWS 构建者 ID MFA 设备
使用安全密钥注册 MFA 设备
登录 AWS 构建者 ID 配置文件,网址为 https://profile.aws.amazon.com
。 -
选择安全性。
-
在 Security(安全性)页面上,选择 Register device(注册装置)。
-
在 Register MFA device(注册 MFA 设备)页面上,选择 Security key(安全密钥)。
-
确保已启用安全密钥。如果您使用单独的物理安全密钥,请将其连接到您的计算机。
-
按照屏幕上的说明进行操作。您的体验取决于您的操作系统和浏览器。
-
如需在 AWS 构建者 ID 中为装置取个友好名称,请选择重命名。此名称可帮助您区分此装置和您注册的其他装置。
MFA 设备现在已准备好与 AWS 构建者 ID 一起使用了。
重命名 AWS 构建者 ID MFA 设备
重命名 MFA 设备
登录 AWS 构建者 ID 配置文件,网址为 https://profile.aws.amazon.com
。 -
选择安全性。位于此页面后,可看到 Rename(重命名)显示为灰色。
-
选择要更改的 MFA 设备。这将允许您选择 Rename(重命名)。随即显示对话框。
-
在打开的提示中,在 MFA device name(MFA 设备名称)中输入新名称,然后选择 Rename(重命名)。重命名装置将显示在 Multi-factor authentication (MFA) devices(多重身份验证(MFA)设备)下。
删除 MFA 设备
建议保留两个或多个活动 MFA 设备。移除装置之前,请参阅 注册 AWS 构建者 ID MFA 设备 以注册替代 MFA 设备。如需禁用 AWS 构建者 ID 的多重身份验证,请从配置文件中移除所有已注册的 MFA 设备。
删除 MFA 设备
登录 AWS 构建者 ID 配置文件,网址为 https://profile.aws.amazon.com
。 -
选择安全性。
-
选择要更改的 MFA 设备,然后选择 Delete(删除)。
-
在 Delete MFA device?(要删除 MFA 设备吗?)模式窗口中,按照说明删除装置。
-
选择删除。
已删除装置将不再显示在 Multi-factor authentication (MFA) devices(多重身份验证(MFA)设备)下。
