本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS IAM 中的多重要素驗證
<a name="id_credentials_mfa"></a>

為了提高安全性，我們建議您設定多重要素驗證 (MFA)，以協助保護您的 AWS 資源。您可以為 AWS 帳戶根使用者 啟用 MFA AWS 帳戶，包括獨立帳戶、管理帳戶和成員帳戶，以及您的 IAM 使用者。我們建議您盡可能使用網路釣魚防護 MFA，例如通行金鑰和安全金鑰。這些 FIDO 型驗證器使用公有金鑰密碼編譯，可抵禦網路釣魚、man-in-the-middle和重播攻擊，提供比 TOTP 型選項更強的安全性。

對於所有類型的帳戶，其根使用者均強制執行 MFA。如需詳細資訊，請參閱[保護 AWS Organizations 您的帳戶根使用者登入資料](root-user-best-practices.md#ru-bp-organizations)。

當您為根使用者啟用 MFA 時，它僅影響根使用者憑證。帳戶中的 IAM 使用者都有自己憑證的不同身分，並且每個身分都有自己的 MFA 組態。如需有關使用 MFA 保護根使用者的詳細資訊，請參閱[的多重要素驗證 AWS 帳戶根使用者](enable-mfa-for-root.md)。

您的 AWS 帳戶根使用者 和 IAM 使用者可以註冊最多八個任何類型的 MFA 裝置。註冊多個 MFA 裝置可以提供彈性，並協助您降低裝置遺失或損壞時存取中斷的風險。您只需要一個 MFA 裝置登入 AWS 管理主控台 ，或透過 AWS CLI建立工作階段。

**注意**  
我們建議您要求人類使用者在存取時使用臨時登入資料 AWS。您是否考慮過使用 AWS IAM Identity Center？ 您可以使用 IAM Identity Center 集中管理對多個 的存取， AWS 帳戶 並為使用者提供受 MFA 保護的單一登入存取，可從單一位置存取其所有指派的帳戶。使用 IAM Identity Center，您可以在 IAM Identity Center 中建立和管理使用者身分，或輕鬆連線至您現有的 SAML 2.0 相容身分提供者。如需詳細資訊，請參閱 *AWS IAM Identity Center 使用者指南*中的[什麼是 IAM Identity Center？](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。

MFA 增加了額外的安全性，要求使用者在存取 AWS 網站或服務時，除了登入憑證之外，還要從 AWS 支援的 MFA 機制提供唯一的身分驗證。

## MFA 類型
<a name="id_credentials_mfa-types"></a>

AWS 支援下列 MFA 類型：

**Contents**
+ [通行密鑰和安全金鑰](#passkeys-security-keys-for-iam-users)
+ [虛擬驗證器應用程式](#virtual-auth-apps-for-iam-users)
+ [硬體 TOTP 權杖](#hardware-totp-token-for-iam-users)

### 通行密鑰和安全金鑰
<a name="passkeys-security-keys-for-iam-users"></a>

AWS Identity and Access Management 支援 MFA 的通行金鑰和安全金鑰。根據 FIDO 標準，通行金鑰使用公有金鑰密碼編譯來提供比密碼更安全的強大、網路釣魚防護身分驗證。 AWS 支援兩種類型的通行金鑰：裝置繫結的通行金鑰 （安全金鑰） 和同步的通行金鑰。
+ **安全金鑰**：這些是用作身分驗證的第二個因素的實體裝置，例如 YubiKey。單一安全金鑰可以支援多個根使用者帳戶和 IAM 使用者。
+ **同步通行密鑰**：這些使用來自提供者 (例如 Google、Apple、Microsoft 帳戶等) 和第三方服務 (例如 1Password、Dashlane 和 Bitwarden 等) 的憑證管理工具作為第二個因素。

您可以使用內建的生物識別驗證器，例如 Apple MacBooks 上的 Touch ID，解鎖您的憑證管理工具並登入 AWS。通行密鑰是透過您選擇的提供者，使用指紋、面部或裝置 PIN 碼建立的。您也可以使用一台裝置 (例如行動裝置或硬體安全金鑰) 中的跨帳戶身分驗證 (CDA) 通行密鑰，在筆記型電腦等其他裝置上登入。如需詳細資訊，請參閱 [cross-device authentication](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA)。

您可以跨裝置同步通行金鑰，以便使用 登入 AWS，增強可用性和可復原性。如需啟用通行密鑰和安全金鑰的詳細資訊，請參閱[為根使用者啟用通行密鑰或安全金鑰 (主控台)](enable-fido-mfa-for-root.md)。

FIDO Alliance 維護與 FIDO 規範相容的所有[經 FIDO 認證的產品](https://fidoalliance.org/certification/fido-certified-products/)的清單。

### 虛擬驗證器應用程式
<a name="virtual-auth-apps-for-iam-users"></a>

在手機或其他裝置上執行並模擬實體裝置的虛擬驗證器應用程式。虛擬驗證器應用程式實作[以時間為基礎的一次性密碼](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP) 算法，並且支援在單台裝置上使用多個權杖。使用者必須在登入期間出現提示時輸入裝置中的有效代碼。每個指派給使用者的權杖都必須是唯一的。使用者無法輸入另一個使用者的權杖來進行身分驗證。

我們建議您使用網路釣魚防護 MFA，例如[通行金鑰或安全金鑰](#passkeys-security-keys-for-iam-users)，以獲得最強大的保護。如果您還無法使用通行金鑰或安全金鑰，建議您在等待硬體購買核准或等待硬體送達時使用虛擬 MFA 裝置做為臨時措施。如需可以用來做為虛擬 MFA 裝置的支援應用程式清單，請參閱[多重要素驗證 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。

如需為 IAM 使用者設定虛擬 MFA 裝置的說明，請參閱[在 中指派虛擬 MFA 裝置 AWS 管理主控台](id_credentials_mfa_enable_virtual.md)。

**注意**  
當您透過 AWS 管理主控台 或在登入程序期間新增新的虛擬 MFA 裝置時， AWS 帳戶 會刪除 中未指派的虛擬 MFA 裝置。未指派的虛擬 MFA 裝置是指位於您帳戶中但帳戶根使用者或 IAM 使用者並未在登入程序中使用的裝置。將這些裝置刪除後，便可將新的虛擬 MFA 裝置新增至您的帳戶。刪除這些裝置後，您還可以重複使用裝置名稱。  
若要檢視帳戶中未指派的虛擬 MFA 裝置，您可以使用 [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI 命令或 [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) 呼叫。
若要停用虛擬 MFA 裝置，您可以使用 [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI 命令或 [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) 呼叫。停用後，裝置會變成未指派狀態。
若要將未指派的虛擬 MFA 裝置連接至 AWS 帳戶 根使用者或 IAM 使用者，您需要裝置產生的驗證碼，以及 [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html) AWS CLI 命令或 [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) 呼叫。

### 硬體 TOTP 權杖
<a name="hardware-totp-token-for-iam-users"></a>

一種在[以時間為基礎的一次性密碼 (TOTP) 演算法](https://datatracker.ietf.org/doc/html/rfc6238)的基礎上產生六位數字程式碼的硬體裝置。使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。

這些字符僅用於 AWS 帳戶。您只能使用具有其安全共用之唯一字符種子的字符 AWS。權杖種子是權杖生產時產生的私密金鑰。從其他來源購買的權杖將無法與 IAM 一起運作。若要確保相容性，您必須從下列其中一個連結購買硬體 MFA 裝置：[OTP 權杖](https://www.amazon.com/SafeNet-IDProve-Time-based-6-Digit-Services/dp/B002CRN5X8)或 [OTP 顯示卡](https://www.amazon.com/SafeNet-IDProve-Card-Amazon-Services/dp/B00J4NGUO4)。
+ 每個指派給使用者的 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者裝置的代碼來進行身分驗證。如需支援的硬體 MFA 裝置資訊，請參閱[多重要素驗證 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。
+ 如果想要使用實體 MFA 裝置，我們建議您使用安全金鑰作為硬體 TOTP 裝置的替代方案。安全金鑰沒有電池需求、可防禦網路釣魚，並支援單一裝置上的多個使用者。

您只能從 啟用通行金鑰或安全金鑰 AWS 管理主控台 ，不能從 AWS CLI 或 AWS API 啟用。在可以啟用安全金鑰之前，您必須擁有對裝置的實體存取權。

如需有關為 IAM 使用者設定硬體 TOTP 權杖的說明，請參閱[在 中指派硬體 TOTP 字符 AWS 管理主控台](id_credentials_mfa_enable_physical.md)。

**注意**  
**SMS 文字訊息型 MFA** – 已 AWS 結束支援啟用 SMS 多重要素驗證 (MFA)。我們建議擁有使用 SMS 簡訊式 MFA 的 IAM 使用者的客戶改為使用下列任一種替代方式：[通行密鑰或安全金鑰](id_credentials_mfa_enable_fido.md)、[虛擬 (軟體式) MFA 裝置](id_credentials_mfa_enable_virtual.md)，或[硬體 MFA 裝置](id_credentials_mfa_enable_physical.md)。您可以使用已分配的 SMS MFA 裝置來識別帳戶中的使用者。在 IAM 主控台中，從導覽窗格選擇 **Users** (使用者)，然後在表格中 **MFA** 欄位尋找具有 **SMS** 的使用者。

## MFA 建議
<a name="id_credentials_mfa-recommendations"></a>

為了協助保護您的身分，請遵循這些 MFA AWS 身分驗證的建議。
+ 我們建議您使用網路釣魚防護 MFA，例如[通行金鑰和安全金鑰](#passkeys-security-keys-for-iam-users)，做為 MFA 裝置。這些以 FIDO 為基礎的驗證程式可針對網路釣魚等攻擊提供最強大的保護。
+ 建議您為 中的 AWS 帳戶根使用者 和 IAM 使用者啟用多個 MFA 裝置 AWS 帳戶。這可讓您提高 中的安全列 AWS 帳戶 ，並簡化管理高權限使用者的存取，例如 AWS 帳戶根使用者。
+ 您可以向 AWS 帳戶根使用者 和 IAM 使用者註冊最多**八個**[目前支援 MFA 類型之任何組合的 MFA](https://aws.amazon.com/iam/features/mfa/) 裝置。使用多個 MFA 裝置時，您只需一個 MFA 裝置即可登入 ， AWS 管理主控台 或透過 以該使用者 AWS CLI 身分建立工作階段。IAM 使用者必須使用現有的 MFA 裝置進行身分驗證，才能啟用或停用其他 MFA 裝置。
+ 如果發生遺失、遭竊或無法存取的 MFA 裝置，您可以使用其中一個剩餘的 MFA 裝置來存取 ， AWS 帳戶 而無需執行 AWS 帳戶 復原程序。如果 MFA 裝置遺失或遭竊，應取消 MFA 裝置與 IAM 主體的可能關聯。
+ 使用多個 MFAs 可讓您的員工分散在地理位置或遠端工作，使用硬體型 MFA 存取 ， AWS 而不必協調員工之間單一硬體裝置的實體交換。
+ 針對 IAM 主體使用額外的 MFA 裝置，可讓您在日常使用期間使用一或多個 MFA 裝置，同時將實體 MFA 裝置維護在安全的實體位置 (例如文件庫)，或是用於備份和備援的安全位置。

**備註**  
您無法將安全金鑰或通行金鑰的 MFA 資訊傳遞給 AWS STS API 操作，以請求臨時憑證。您可以在使用安全金鑰或通行金鑰時，透過執行 `aws login`命令取得登入資料，以搭配 AWS CLI 和 AWS SDKs 使用。
您無法使用 AWS CLI 命令或 AWS API 操作來啟用 [FIDO 安全金鑰](id_credentials_mfa_enable_fido.md)。
同一個名稱不能用於多個根使用者或 IAM MFA 裝置。

## 其他資源
<a name="id_credentials_mfa-resources"></a>

下列資源可協助您進一步了解 MFA。
+ 如需使用 MFA 存取的詳細資訊 AWS，請參閱 [啟用 MFA 的登入](console_sign-in-mfa.md)。
+  您可以利用 IAM Identity Center 啟用 AWS 存取入口網站、IAM Identity Center 整合應用程式和 的安全 MFA 存取 AWS CLI。如需詳細資訊，請參閱[在 IAM Identity Center 中啟用 MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html)。