本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
提示用户完成 MFA
您可以通过启用多重身份验证(MFA)来启用对 AWS 访问门户、IAM Identity Center 集成的应用程序以及 AWS CLI 的安全访问。
重要
本部分中的说明适用于 AWS IAM Identity Center
使用以下步骤在 IAM Identity Center 控制台中启用 MFA。在开始之前,我们建议您首先了解 适用于 IAM Identity Center 的可用 MFA 类型。
注意
如果您使用的是外部 IdP,则多重身份验证部分将不可用。您的外部 IdP 管理 MFA 设置,而不是 IAM Identity Center 管理这些设置。
如需启用 MFA
-
在左侧导航窗格中,选择 设置。
-
在设置页面上,选择身份验证选项卡。
-
在多重身份验证部分,选择配置。
-
在配置多重身份验证页面的提示用户完成 MFA 项下,根据您的业务所需的安全级别选择以下身份验证模式之一:
-
仅当他们的登录上下文发生变化时(上下文感知)
在此模式(默认)下,IAM Identity Center 为用户提供了在登录期间信任其设备的选项。在用户表示要信任某设备后,IAM Identity Center 会提示用户进行一次 MFA,然后分析登录上下文(例如设备、浏览器和位置),以便用户后续登录。对于后续登录,IAM Identity Center 会确定用户是否使用先前信任的上下文登录。如果用户的登录上下文发生变化,除了电子邮件地址和密码凭证外,IAM Identity Center 还会提示用户完成 MFA。
此模式为经常在工作场所登录的用户提供了方便,因而他们无需在每次登录时都完成 MFA。只有当他们的登录上下文发生变化时,才会提示他们完成 MFA。
-
他们每次登录时(始终开启)
在此模式下,IAM Identity Center 要求拥有已注册 MFA 设备的用户每次登录时都会收到提示。如果您的组织或合规政策要求您的用户每次登录 AWS 访问门户时都必须完成 MFA,则应使用此模式。例如,PCI DSS 强烈建议在每次登录时完成 MFA,以访问支持高风险支付交易的应用程序。
-
从不(已禁用)
在此模式下,所有用户仅使用其标准用户名和密码登录。选择此选项将禁用 IAM Identity Center MFA。
虽然 Identity Center 目录用户禁用 MFA,但您无法在其用户详细信息中管理 MFA 设备,并且 Identity Center 目录用户无法通过 AWS 访问门户管理 MFA 设备。
注意
如果您已经在搭配使用 RADIUS MFA 和 AWS Directory Service,并希望继续将其用作默认 MFA 类型,则可以将身份验证模式保留为禁用状态,以绕过 IAM Identity Center 中的 MFA 功能。从禁用模式更改为上下文感知或始终开启模式将覆盖现有的 RADIUS MFA 设置。有关更多信息,请参阅 RADIUS MFA。
-
-
选择 Save changes(保存更改)。
相关主题