注册用户的 MFA 设备
IAM Identity Center 管理员可以设置新的 MFA 设备,供特定用户在 IAM Identity Center 控制台中访问。管理员必须拥有对用户 MFA 设备的物理访问权限,才能注册设备。例如,如果您为使用在智能手机上运行的 MFA 设备的用户配置 MFA,则您需要对该智能手机的物理访问权限才能完成注册流程。或者,您可以允许用户配置和管理他们自己的 MFA 设备。有关更多信息,请参阅 允许用户注册自己的 MFA 设备。
如需注册 MFA 设备
-
在左侧导航窗格中,选择 用户。在列表中,选择一个用户。在此步骤中,请勿选中用户旁边的复选框。
-
在用户详细信息页面上,选择 MFA 设备选项卡,然后选择注册 MFA 设备。
-
在注册 MFA 设备页面上,选择以下 MFA 设备类型之一,然后按照说明进行操作:
-
身份验证器应用程序
-
在设置身份验证器应用程序页面上,IAM Identity Center 将显示新 MFA 设备的配置信息,包括二维码图形。该图表示可在不支持 QR 码的设备上手动输入的密钥。
-
使用物理 MFA 设备,执行以下操作:
-
打开兼容的 MFA 身份验证器应用程序。有关可以在 MFA 设备上使用的经过测试的应用程序的列表,请参阅 虚拟身份验证器应用程序。如果 MFA 应用支持多个帐户(多个 MFA 设备),请选择创建新帐户(新的 MFA 设备)的选项。
-
确定 MFA 应用程序是否支持 QR 码,然后在设置身份验证器应用程序页面上执行以下操作之一:
-
选择 Show QR code(显示 QR 代码),然后使用该应用程序扫描 QR 代码。例如,您可选择摄像头图标或选择类似于 Scan code(扫描代码)的选项,然后使用装置的摄像头扫描此代码。
-
选择显示密钥,然后将该密钥键入到 MFA 应用程序中。
重要
当您为 IAM Identity Center 配置 MFA 设备时,我们建议您将 QR 码或密钥的副本保存在安全的位置。如果指定用户丢失了手机或者必须重新安装 MFA 身份验证器应用程序,这可能会有所帮助。如果出现上述任一情况,您可以快速重新配置应用程序,使其使用相同的 MFA 配置。这样便无需在 IAM Identity Center 中为用户创建新的 MFA 设备。
-
-
-
在设置身份验证器应用程序页面的身份验证器代码项下,输入物理 MFA 设备上当前显示的一次性密码。
重要
生成代码之后立即提交您的请求。如果在生成代码后等待很长时间才提交请求,MFA 设备将成功与用户关联,但 MFA 设备不同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下,您可以重新同步装置。
-
选择 Assign MFA (分配 MFA)。MFA 设备现在可以开始生成一次性密码,而且可以与 AWS 配合使用了。
-
-
安全密钥
-
在注册用户的安全密钥页面上,按照浏览器或平台提供的说明进行操作。
注意
此处的体验因不同的操作系统和浏览器而异,因此请按照浏览器或平台显示的说明进行操作。成功注册用户设备后,您可以选择将友好显示名称与用户新注册的设备相关联。如果要更改此设置,请选择重命名,输入新名称,然后选择保存。如果您启用了允许用户管理自己的设备的选项,则用户将在 AWS 访问门户中看到此友好名称。
-
-