为用户注册MFA设备 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为用户注册MFA设备

IAMIdentity Center 管理员可以在 Ident IAM ity Center 控制台中设置新MFA设备供特定用户访问。管理员必须对用户的MFA设备具有物理访问权限才能对其进行注册。例如,如果您MFA为要使用在智能手机上运行的MFA设备的用户进行配置,则需要对智能手机进行物理访问才能完成注册过程。或者,您可以允许用户配置和管理自己的MFA设备。有关更多信息,请参阅 允许用户注册自己的MFA设备

注册MFA设备
  1. 打开IAM身份中心控制台

  2. 在左侧导航窗格中,选择 用户。在列表中,选择一个用户。在此步骤中,请勿选中用户旁边的复选框。

  3. 在用户详细信息页面上,选择MFA设备选项卡,然后选择注册MFA设备

  4. 注册MFA设备页面上,选择以下MFA设备类型之一,然后按照说明进行操作:

    • 身份验证器应用程序

      1. 设置身份验证器应用程序页面上,Ident IAM ity Center 会显示新MFA设备的配置信息,包括二维码图片。该图表示可在不支持 QR 码的设备上手动输入的密钥。

      2. 使用物理MFA设备执行以下操作:

        1. 打开兼容的MFA身份验证器应用程序。有关可在MFA设备上使用的经过测试的应用程序的列表,请参阅虚拟身份验证器应用程序。如果MFA应用程序支持多个帐户(多MFA台设备),请选择创建新帐户(新MFA设备)的选项。

        2. 确定MFA应用程序是否支持 QR 码,然后在 “设置身份验证器应用程序” 页面上执行以下操作之一:

          1. 选择 Show QR code(显示 QR 代码),然后使用该应用程序扫描 QR 代码。例如,您可选择摄像头图标或选择类似于 Scan code(扫描代码)的选项,然后使用装置的摄像头扫描此代码。

          2. 选择 “显示密钥”,然后在您的MFA应用程序中键入该密钥。

            重要

            在为 Ident IAM ity Center 配置MFA设备时,我们建议您将二维码或密钥的副本保存在安全的地方。如果分配的用户丢失了手机或者必须重新安装MFA身份验证器应用程序,这会有所帮助。如果出现上述任一情况,您可以快速重新配置应用程序,使其使用相同的MFA配置。这样就无需在IAM身份中心为用户创建新MFA设备。

      3. 设置身份验证器应用程序页面的身份验证器代码下,键入物理MFA设备上当前显示的一次性密码。

        重要

        生成代码之后立即提交您的请求。如果您生成代码,然后等待太长时间才提交请求,则MFA设备已成功与用户关联。但是MFA设备不同步。之所以发生这种情况,是因为基于时间的一次性密码 (TOTP) 会在短时间后过期。这种情况下,您可以重新同步装置。

      4. 选择 Assign (分配)MFA。该MFA设备现在可以开始生成一次性密码,现在可以与之配合使用了 AWS。

    • 安全密钥

      1. 注册用户的安全密钥页面上,按照浏览器或平台提供的说明进行操作。

        注意

        此处的体验因不同的操作系统和浏览器而异,因此请按照浏览器或平台显示的说明进行操作。成功注册用户设备后,您可以选择将友好显示名称与用户新注册的设备相关联。如果要更改此设置,请选择重命名,输入新名称,然后选择保存。如果您启用了允许用户管理自己的设备的选项,则用户将在 AWS 访问门户中看到此友好名称。