本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為了提高安全性,我們建議您設定多重要素驗證 (MFA),以協助保護您的 AWS 資源。您可以為 AWS 帳戶根使用者 啟用 MFA AWS 帳戶,包括獨立帳戶、管理帳戶和成員帳戶,以及您的 IAM 使用者。
雖然根使用者預設會強制執行 MFA,但它需要在初始帳戶建立期間或登入期間提示時新增 MFA 的客戶動作。例如, AWS 需要您在登入後的前 35 天內為組織的管理帳戶根使用者註冊 MFA。如需詳細資訊,請參閱保護您的 Organizations 帳戶根使用者憑證。
當您為根使用者啟用 MFA 時,它僅影響根使用者憑證。帳戶中的 IAM 使用者都有自己憑證的不同身分,並且每個身分都有自己的 MFA 組態。如需使用 MFA 保護根使用者的詳細資訊,請參閱 的多重要素驗證 AWS 帳戶根使用者。
您的 AWS 帳戶根使用者 和 IAM 使用者可以註冊最多八個任何類型的 MFA 裝置。註冊多個 MFA 裝置可以提供彈性,並協助您降低裝置遺失或損壞時存取中斷的風險。您只需要一個 MFA 裝置登入 AWS Management Console ,或透過 AWS CLI建立工作階段。
注意
我們建議您要求人類使用者在存取時使用臨時登入資料 AWS。您是否考慮使用 AWS IAM Identity Center? 您可以使用 IAM Identity Center 集中管理對多個 的存取, AWS 帳戶 並為使用者提供受 MFA 保護的單一登入存取權,可從一個位置存取其所有指派的帳戶。使用 IAM Identity Center,您可以在 IAM Identity Center 中建立和管理使用者身分,或輕鬆連線至您現有的 SAML 2.0 相容身分提供者。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的什麼是 IAM Identity Center?。
MFA 增加了額外的安全性,要求使用者在存取 AWS 網站或服務時,除了其登入憑證之外,還要從 AWS 支援的 MFA 機制提供唯一身分驗證。
MFA 類型
AWS 支援下列 MFA 類型:
通行密鑰和安全金鑰
AWS Identity and Access Management 支援 MFA 的通行密鑰和安全金鑰。根據 FIDO 標準,通行密鑰使用公有金鑰密碼編譯來提供比密碼更安全的強大、網路釣魚防護身分驗證。 AWS 支援兩種類型的通行密鑰:裝置繫結的通行密鑰 (安全金鑰) 和同步的通行密鑰。
-
安全金鑰:這些是用作身分驗證的第二個因素的實體裝置,例如 YubiKey。單一安全金鑰可以支援多個根使用者帳戶和 IAM 使用者。
-
同步通行密鑰:這些使用來自提供者 (例如 Google、Apple、Microsoft 帳戶等) 和第三方服務 (例如 1Password、Dashlane 和 Bitwarden 等) 的憑證管理工具作為第二個因素。
您可以使用內建的生物識別驗證器,例如 Apple MacBooks 上的 Touch ID,解鎖您的憑證管理工具並登入 AWS。通行密鑰是透過您選擇的提供者,使用指紋、面部或裝置 PIN 碼建立的。您可以跨裝置同步通行密鑰,以方便使用 登入 AWS,增強可用性和可復原性。
IAM 不支援 Windows Hello 的本機通行密鑰註冊。若要建立和使用通行密鑰,Windows 使用者應使用跨裝置驗證
FIDO Alliance 維護與 FIDO 規範相容的所有經 FIDO 認證的產品
如需啟用通行密鑰和安全金鑰的詳細資訊,請參閱為根使用者啟用通行密鑰或安全金鑰 (主控台)。
虛擬驗證器應用程式
在手機或其他裝置上執行並模擬實體裝置的虛擬驗證器應用程式。虛擬驗證器應用程式實作以時間為基礎的一次性密碼
我們強烈建議您在等待硬體的購買核准或等待硬體就定位時,使用虛擬 MFA 裝置。如需可以用來做為虛擬 MFA 裝置的支援應用程式清單,請參閱多重要素驗證 (MFA)
如需為 IAM 使用者設定虛擬 MFA 裝置的說明,請參閱在 AWS Management Console中指派虛擬 MFA 裝置。
注意
當您透過 AWS Management Console 或在登入程序期間新增新的虛擬 MFA 裝置時, 中未指派的虛擬 MFA 裝置 AWS 帳戶 會遭到刪除。未指派的虛擬 MFA 裝置是您帳戶中的裝置,但帳戶根使用者或 IAM 使用者不會用於登入程序。它們已被刪除,因此新的虛擬 MFA 裝置可以新增到您的帳戶。它也可讓您重複使用裝置名稱。
-
若要檢視帳戶中未指派的虛擬 MFA 裝置,您可以使用 list-virtual-mfa-devices
AWS CLI 命令或 API 呼叫。 -
若要停用虛擬 MFA 裝置,您可以使用 deactivate-mfa-device
AWS CLI 命令或 API 呼叫。裝置將取消指派。 -
若要將未指派的虛擬 MFA 裝置連接至您的 AWS 帳戶 根使用者或 IAM 使用者,您需要裝置產生的驗證碼,以及 enable-mfa-device
AWS CLI 命令或 API 呼叫。
硬體 TOTP 權杖
一種在以時間為基礎的一次性密碼 (TOTP) 演算法
這些字符僅供 使用 AWS 帳戶。您只能使用具有其唯一字符種子安全共用的字符 AWS。權杖種子是權杖生產時產生的私密金鑰。從其他來源購買的權杖將無法與 IAM 一起運作。若要確保相容性,您必須從下列其中一個連結購買硬體 MFA 裝置:OTP 權杖
-
每個指派給使用者的 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者裝置的代碼來進行身分驗證。如需支援的硬體 MFA 裝置資訊,請參閱多重要素驗證 (MFA)
。 -
如果想要使用實體 MFA 裝置,我們建議您使用安全金鑰作為硬體 TOTP 裝置的替代方案。安全金鑰沒有電池需求、可防禦網路釣魚,並支援單一裝置上的多個使用者。
您只能從 啟用通行金鑰或安全金鑰 AWS Management Console ,不能從 AWS CLI 或 AWS API 啟用。在可以啟用安全金鑰之前,您必須擁有對裝置的實體存取權。
如需有關為 IAM 使用者設定硬體 TOTP 權杖的說明,請參閱在 AWS Management Console中指派硬體 TOTP 權杖。
注意
SMS 簡訊式 MFA - AWS 結束了對啟用 SMS 多重要素驗證 (MFA) 的支援。我們建議擁有使用 SMS 簡訊式 MFA 的 IAM 使用者的客戶改為使用下列任一種替代方式:通行密鑰或安全金鑰、虛擬 (軟體式) MFA 裝置,或硬體 MFA 裝置。您可以使用已分配的 SMS MFA 裝置來識別帳戶中的使用者。在 IAM 主控台中,從導覽窗格選擇 Users (使用者),然後在表格中 MFA 欄位尋找具有 SMS 的使用者。
MFA 建議
為了協助保護您的身分,請遵循這些 MFA AWS 身分驗證建議。
-
建議您為 中的 AWS 帳戶根使用者 和 IAM 使用者啟用多個 MFA 裝置 AWS 帳戶。這可讓您提高 中的安全列, AWS 帳戶 並簡化管理高權限使用者的存取,例如 AWS 帳戶根使用者。
-
您最多可以向 AWS 帳戶根使用者 和 IAM 使用者註冊八部 MFA 裝置,其為目前支援的 MFA 類型
的任何組合。使用多個 MFA 裝置時,您只需要一個 MFA 裝置登入 , AWS Management Console 或透過 建立工作階段,以該使用者 AWS CLI 身分。IAM 使用者必須使用現有的 MFA 裝置進行身分驗證,才能啟用或停用其他 MFA 裝置。 -
如果發生遺失、遭竊或無法存取的 MFA 裝置,您可以使用其餘的 MFA 裝置之一來存取 , AWS 帳戶 而無需執行 AWS 帳戶 復原程序。如果 MFA 裝置遺失或遭竊,應取消 MFA 裝置與 IAM 主體的可能關聯。
-
使用多個 MFAs 可讓您的員工分散在地理位置,或遠端工作,使用硬體型 MFA 存取 , AWS 而不必協調員工之間單一硬體裝置的實體交換。
-
針對 IAM 主體使用額外的 MFA 裝置,可讓您在日常使用期間使用一或多個 MFA 裝置,同時將實體 MFA 裝置維護在安全的實體位置 (例如文件庫),或是用於備份和備援的安全位置。
備註
-
您無法將 FIDO 安全金鑰的 MFA 資訊傳遞給 AWS STS API 操作,以請求臨時憑證。
-
您無法使用 AWS CLI 命令或 AWS API 操作來啟用 FIDO 安全金鑰。
-
您不能為多個根或 IAM MFA 裝置使用相同的名稱。
其他資源
下列資源可協助您進一步了解 IAM MFA。
-
如需使用 MFA 存取 的詳細資訊 AWS,請參閱 啟用 MFA 的登入。
-
您可以利用 IAM Identity Center 啟用 AWS 存取入口網站、IAM Identity Center 整合應用程式和 的安全 MFA 存取 AWS CLI。如需詳細資訊,請參閱在 IAM Identity Center 中啟用 MFA。
