本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的多重要素驗證 AWS 帳戶根使用者
<a name="enable-mfa-for-root"></a>

**重要**  
AWS 建議您盡可能使用 MFA 的通行金鑰或安全金鑰 AWS，因為它們更能抵禦網路釣魚等攻擊。如需詳細資訊，請參閱[通行密鑰和安全金鑰](#passkeys-security-keys-for-root)。

多重要素驗證 (MFA) 是一種簡單且有效的機制，可增強您的安全性。第一個因素：您的密碼，是您記住的秘密，也稱為知識因素。其他因素可以是擁有因素 (您擁有的事物，例如安全金鑰) 或繼承因素 (您自身的事物，例如生物特徵掃描)。為了提高安全性，強烈建議您設定多重要素驗證 (MFA)，以協助保護您的 AWS 資源。

**注意**  
所有 AWS 帳戶 類型 （獨立、管理和成員帳戶） 都需要為其根使用者設定 MFA。 AWS 管理主控台 如果尚未啟用 MFA，使用者必須在第一次登入嘗試存取 的 35 天內註冊 MFA。

您可以為 AWS 帳戶根使用者 和 IAM 使用者啟用 MFA。當您為根使用者啟用 MFA 時，它僅影響根使用者憑證。如需如何針對 IAM 使用者啟用 MFA 的詳細資訊，請參閱 [AWS IAM 中的多重要素驗證](id_credentials_mfa.md)。

**注意**  
AWS 帳戶 使用 受管 AWS Organizations 可以選擇[集中管理成員帳戶的根存取權](id_root-user.md#id_root-user-access-management)，以防止憑證復原和大規模存取。如果啟用了此選項，您可以從成員帳戶中刪除根使用者憑證，包括密碼和 MFA，從而有效地防止以根使用者身分登入、密碼復原或設定 MFA。或者，如果您偏好使用基於密碼的登入方式，請註冊 MFA 以增強帳戶保護來確保帳戶安全。

啟用根使用者的 MFA 之前，請檢閱並[更新您的帳戶設定和聯絡資訊](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)，以確保您有權存取電子郵件和電話號碼。如果您的 MFA 裝置遺失、遭竊或無法運作，您仍然可以使用該電子郵件和電話號碼驗證身分，以根使用者身分登入。如需了解如何使用其他身分驗證方法登入的詳細資訊，請參閱[在 IAM 中復原受 MFA 保護的身分](id_credentials_mfa_lost-or-broken.md)。若要停用這項功能，請聯絡 [AWS 支援](https://console.aws.amazon.com/support/home#/)。

AWS 支援根使用者的下列 MFA 類型：
+ [通行密鑰和安全金鑰](#passkeys-security-keys-for-root)
+ [虛擬驗證器應用程式](#virtual-auth-apps-for-root)
+ [硬體 TOTP 權杖](#hardware-totp-token-for-root)

## 通行密鑰和安全金鑰
<a name="passkeys-security-keys-for-root"></a>

AWS Identity and Access Management 支援 MFA 的通行金鑰和安全金鑰。根據 FIDO 標準，通行金鑰使用公有金鑰密碼編譯來提供比密碼更安全的強大、網路釣魚防護身分驗證。 AWS 支援兩種類型的通行金鑰：裝置繫結的通行金鑰 （安全金鑰） 和同步的通行金鑰。
+ **安全金鑰**：這些是用作身分驗證的第二個因素的實體裝置，例如 YubiKey。單一安全金鑰可以支援多個根使用者帳戶和 IAM 使用者。
+ **同步通行密鑰**：這些使用來自提供者 (例如 Google、Apple、Microsoft 帳戶等) 和第三方服務 (例如 1Password、Dashlane 和 Bitwarden 等) 的憑證管理工具作為第二個因素。

您可以使用內建的生物識別驗證器，例如 Apple MacBooks 上的 Touch ID，解鎖您的憑證管理工具並登入 AWS。通行密鑰是透過您選擇的提供者，使用指紋、面部或裝置 PIN 碼建立的。您也可以使用一台裝置 (例如行動裝置或硬體安全金鑰) 中的跨帳戶身分驗證 (CDA) 通行密鑰，在筆記型電腦等其他裝置上登入。如需詳細資訊，請參閱 [cross-device authentication](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA)。

您可以跨裝置同步通行金鑰，以便使用 登入 AWS，增強可用性和可復原性。如需啟用通行密鑰和安全金鑰的詳細資訊，請參閱[為根使用者啟用通行密鑰或安全金鑰 (主控台)](enable-fido-mfa-for-root.md)。

FIDO Alliance 維護與 FIDO 規範相容的所有[經 FIDO 認證的產品](https://fidoalliance.org/certification/fido-certified-products/)的清單。

## 虛擬驗證器應用程式
<a name="virtual-auth-apps-for-root"></a>

在手機或其他裝置上執行並模擬實體裝置的虛擬驗證器應用程式。虛擬驗證器應用程式實作[以時間為基礎的一次性密碼](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP) 算法，並且支援在單台裝置上使用多個權杖。使用者必須在登入期間出現提示時輸入裝置中的有效代碼。每個指派給使用者的權杖都必須是唯一的。使用者無法輸入另一個使用者的權杖來進行身分驗證。

我們強烈建議您在等待硬體的購買核准或等待硬體就定位時，使用虛擬 MFA 裝置。如需可以用來做為虛擬 MFA 裝置的支援應用程式清單，請參閱[多重要素驗證 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。如需使用 設定虛擬 MFA 裝置的指示 AWS，請參閱 [針對根使用者啟用虛擬 MFA 裝置 (主控台)](enable-virt-mfa-for-root.md)。

## 硬體 TOTP 權杖
<a name="hardware-totp-token-for-root"></a>

一種在[以時間為基礎的一次性密碼 (TOTP) 演算法](https://datatracker.ietf.org/doc/html/rfc6238)的基礎上產生六位數字程式碼的硬體裝置。使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。每個指派給使用者的 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者裝置的代碼來進行身分驗證。如需支援的硬體 MFA 裝置資訊，請參閱[多重要素驗證 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。如需使用 AWS設定硬體 TOTP 權杖的說明，請參閱 [針對根使用者啟用硬體 TOTP 權杖 (主控台)](enable-hw-mfa-for-root.md)。

如果想要使用實體 MFA 裝置，我們建議您使用 FIDO 安全金鑰作為硬體 TOTP 裝置的替代方案。FIDO 安全金鑰具有無需電池和防釣魚的優勢，而且可在單一裝置上支援多個根使用者和 IAM 使用者，以增強安全性。

**Topics**
+ [通行密鑰和安全金鑰](#passkeys-security-keys-for-root)
+ [虛擬驗證器應用程式](#virtual-auth-apps-for-root)
+ [硬體 TOTP 權杖](#hardware-totp-token-for-root)
+ [為根使用者啟用通行密鑰或安全金鑰 (主控台)](enable-fido-mfa-for-root.md)
+ [針對根使用者啟用虛擬 MFA 裝置 (主控台)](enable-virt-mfa-for-root.md)
+ [針對根使用者啟用硬體 TOTP 權杖 (主控台)](enable-hw-mfa-for-root.md)