配置 MFA 设备实施

如需为您的用户配置 MFA 设备实施

1. 打开 IAM Identity Center 控制台。

2. 在左侧导航窗格中，选择 设置。

3. 在设置页面上，选择身份验证选项卡。

4. 在多重身份验证部分，选择配置。

5. 在配置多重身份验证页面的如果用户还没有已注册的 MFA 设备项下，根据您的业务需求选择以下选项之一：

   • 要求他们在登录时注册 MFA 设备

     这是您首次为 IAM Identity Center 配置 MFA 时的默认设置。如果您希望要求尚未注册 MFA 设备的用户在成功进行密码身份验证后在登录期间自行注册设备，请使用此选项。这样，您就可以使用 MFA 确保贵组织的 AWS 环境安全，而不必单独注册身份验证设备并将其分发给用户。在自行注册期间，您的用户可以注册您之前启用的可用 适用于 IAM Identity Center 的可用 MFA 类型 中的任何设备。完成注册后，用户可以选择为其新注册的 MFA 设备起一个友好名称，之后 IAM Identity Center 会将用户重定向到其原始目标。如果用户的设备丢失或被盗，您只需将该设备从其帐户中移除即可，IAM Identity Center 将要求他们在下次登录时自行注册新设备。

   • 要求他们提供电子邮件发送的一次性密码才能登录

     如果您想通过电子邮件向用户发送验证码，请使用此选项。由于电子邮件未与特定设备绑定，因此此选项不符合行业标准的多重身份验证的标准。但是，与单独使用密码相比，它确实可以提高安全性。只有当用户尚未注册 MFA 设备时，才会请求电子邮件验证。如果启用了上下文感知身份验证方法，则用户将有机会将接收电子邮件的设备标记为信任设备。之后，用户在使用该设备、浏览器和 IP 地址组合登录时，无需再验证电子邮件代码。

     注意

     如果您使用 Active Directory 作为 IAM Identity Center 启用的身份源，则电子邮件地址将始终基于 Active Directory email 属性。自定义 Active Directory 属性映射不会覆盖此行为。

   • 阻止他们登录

     如果您想强制每位用户在登录 AWS 之前使用 MFA，请使用阻止他们登录选项。

     重要

     如果您的身份验证方法设置为上下文感知，则用户可以在登录页面上选中这是信任设备复选框。在这种情况下，即使您启用了阻止他们登录设置，也不会提示该用户完成 MFA。如果您想让这些用户收到提示，请将您的身份验证方法更改为始终开启。

   • 允许他们登录

     使用此选项表明您的用户无需使用 MFA 设备即可登录 AWS 访问门户。选择注册 MFA 设备的用户仍会收到完成 MFA 的提示。

6. 选择 Save changes（保存更改）。