本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 中指派通行金鑰或安全金鑰 AWS 管理主控台
<a name="id_credentials_mfa_enable_fido"></a>

通行金鑰是一種[多重要素驗證 (MFA) 裝置](id_credentials_mfa.md)，可用來保護您的 AWS 資源。 AWS 支援同步通行金鑰和裝置繫結通行金鑰，也稱為安全金鑰。

同步通行密鑰可讓 IAM 使用者在許多裝置 (甚至是新裝置) 上存取 FIDO 登入憑證，而無需在每個帳戶上重新註冊每個裝置。同步通行密鑰包含 Google、Apple 和 Microsoft 等第一方憑證管理員，以及 1Password、Dashlane 和 Bitwarden 等第三方憑證管理員，作為第二個要素。您也可以使用裝置上的生物識別技術 (例如 TouchID、FaceID) 來解除鎖定您選擇的憑證管理員，以使用通行密鑰。

或者，裝置綁定的通行密鑰會綁定至 FIDO 安全金鑰，您可以將其插入電腦上的 USB 連接埠，然後在出現提示時點選以安全地完成登入程序。若您已搭配其他服務使用 FIDO 安全金鑰，並且它具備 [AWS 支援的組態](id_credentials_mfa_fido_supported_configurations.md) (例如來自 Yubico 的 YubiKey 5)，您也可以搭配 AWS來使用它。否則，若您希望在 AWS中使用 MFA 的 WebAuthn，您需要購買 FIDO 安全金鑰。此外，FIDO 安全金鑰可以支援同一裝置上的多個 IAM 或根使用者，從而增強其公用程式以確保帳戶安全。如需兩種裝置類型的規格及購買資訊，請參閱[多重要素驗證](https://aws.amazon.com/iam/details/mfa/)。

您可以向 AWS 帳戶根使用者 和 IAM 使用者註冊最多**八個**[目前支援 MFA 類型之任何組合的 MFA](https://aws.amazon.com/iam/features/mfa/) 裝置。使用多個 MFA 裝置時，您只需一個 MFA 裝置登入 ， AWS 管理主控台 或透過 以該使用者 AWS CLI 身分建立工作階段。我們建議您註冊多個 MFA 裝置。例如，您可以註冊內建驗證器，也可以註冊存放在實體安全位置的安全金鑰。如果無法使用內建驗證器，則可以使用已註冊的安全金鑰。對於驗證器應用程式，我們也建議您在這些應用程式中啟用雲端備份或同步功能，以協助避免在具有驗證器應用程式的裝置遺失或損壞時，失去對帳戶的存取權限。

**注意**  
存取 AWS時，我們建議您要求人類使用者使用暫時性憑證。您的使用者可以 AWS 與身分提供者聯合到 ，並在其中使用其公司登入資料和 MFA 組態進行身分驗證。若要管理對 AWS 和商業應用程式的存取，建議您使用 IAM Identity Center。如需詳細資訊，請參閱 [IAM Identity Center 使用者指南](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。

**Topics**
+ [必要許可](#enable-fido-mfa-for-iam-user-permissions-required)
+ [為您自己的 IAM 使用者啟用通行密鑰或安全金鑰 (主控台)](#enable-fido-mfa-for-own-iam-user)
+ [為另一個 IAM 使用者啟用通行密鑰或安全金鑰 (主控台)](#enable-fido-mfa-for-iam-user)
+ [取代通行密鑰或安全金鑰](#replace-fido-mfa)
+ [使用通行密鑰和安全金鑰的支援組態](id_credentials_mfa_fido_supported_configurations.md)

## 必要許可
<a name="enable-fido-mfa-for-iam-user-permissions-required"></a>

若要管理您自己的 IAM 使用者的 FIDO 通行密鑰，同時保護敏感的 MFA 相關動作，您必須擁有下列政策的許可：

**注意**  
ARN 值是靜態值，不是哪項協定被用來註冊驗證器的指示器。我們已棄用 U2F，因此所有新的實作都採用 WebAuthn。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## 為您自己的 IAM 使用者啟用通行密鑰或安全金鑰 (主控台)
<a name="enable-fido-mfa-for-own-iam-user"></a>

您只能從 為您自己的 IAM 使用者啟用通行金鑰或安全金鑰 AWS 管理主控台 ，不能從 AWS CLI 或 AWS API 啟用。在可以啟用安全金鑰之前，您必須擁有對裝置的實體存取權。

**若要為您自己的 IAM 使用者啟用通行密鑰或安全金鑰 (主控台)**

1. 使用 AWS 您的帳戶 ID 或帳戶別名、IAM 使用者名稱和密碼登入 [IAM 主控台](https://console.aws.amazon.com/iam)。
**注意**  
為了方便起見， AWS 登入頁面會使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入，請選擇在頁面底部附近的 **Sign in to a different account** (登入不同的帳戶)，返回主要登入頁面。在那裡，您可以輸入要重新導向至 AWS 您帳戶的 IAM 使用者登入頁面的帳戶 ID 或帳戶別名。

   若要取得您的 AWS 帳戶 ID，請聯絡您的管理員。

1. 在右上方的導覽列中，選擇您的使用者名稱，然後選擇 **安全憑證** 。  
![\[AWS 管理主控台 安全登入資料連結\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. 在選取的 IAM 使用者頁面上，選擇**安全憑證**索引標籤。

1. 在 **Multi-Factor Authentication (MFA)** (多重要素驗證 (MFA)) 區段下方，選擇 **Assign MFA device** (指派 MFA 裝置)。

1. 在 **MFA 裝置名稱**頁面上，輸入**裝置名稱**，選擇**通行密鑰或安全金鑰**，然後選擇**下一步**。

1. 在**設定裝置**上，設定您的通行密鑰。使用臉部或指紋等生物識別資料、裝置 PIN，或將 FIDO 安全金鑰插入電腦的 USB 連接埠並點選，由此建立通行密鑰。

1. 遵循瀏覽器上的說明進行操作，然後選擇**繼續**。

您現在已註冊要與 搭配使用的通行金鑰或安全金鑰 AWS。如需搭配 使用 MFA 的詳細資訊 AWS 管理主控台，請參閱 [啟用 MFA 的登入](console_sign-in-mfa.md)。

## 為另一個 IAM 使用者啟用通行密鑰或安全金鑰 (主控台)
<a name="enable-fido-mfa-for-iam-user"></a>

您只能從 為其他 IAM 使用者啟用通行金鑰或安全金鑰 AWS 管理主控台 ，不能從 AWS CLI 或 AWS API 啟用。

**為另一個 IAM 使用者啟用通行金鑰或安全金鑰 （主控台）**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**使用者** 。

1. 在**使用者**下，選擇要為其啟用 MFA 的使用者名稱。

1. 在選取的 IAM 使用者頁面上，選擇**安全憑證**索引標籤。

1. 在 **Multi-Factor Authentication (MFA)** (多重要素驗證 (MFA)) 區段下方，選擇 **Assign MFA device** (指派 MFA 裝置)。

1. 在 **MFA 裝置名稱**頁面上，輸入**裝置名稱**，選擇**通行密鑰或安全金鑰**，然後選擇**下一步**。

1. 在**設定裝置**上，設定您的通行密鑰。使用臉部或指紋等生物識別資料、裝置 PIN，或將 FIDO 安全金鑰插入電腦的 USB 連接埠並點選，由此建立通行密鑰。

1. 遵循瀏覽器上的說明進行操作，然後選擇**繼續**。

您現在已為另一個 IAM 使用者註冊通行密鑰或安全金鑰，以便與 AWS搭配使用。如需搭配 使用 MFA 的詳細資訊 AWS 管理主控台，請參閱 [啟用 MFA 的登入](console_sign-in-mfa.md)。

## 取代通行密鑰或安全金鑰
<a name="replace-fido-mfa"></a>

您的 AWS 帳戶根使用者 和 IAM 使用者一次最多可以有八個 MFA 裝置指派給使用者[目前支援的 MFA 類型](https://aws.amazon.com/iam/features/mfa/)任意組合。如果使用者遺失 FIDO 驗證器或因為任何原因需要更換，您必須先停用舊的 FIDO 驗證器。然後，再為使用者新增新的 MFA 裝置。
+ 如需停用目前與 IAM 使用者相關聯的裝置，請參閱 [停用 MFA 裝置](id_credentials_mfa_disable.md)。
+ 若要為 IAM 使用者新增新的 FIDO 安全性金鑰，請參閱 [為您自己的 IAM 使用者啟用通行密鑰或安全金鑰 (主控台)](#enable-fido-mfa-for-own-iam-user)。

如果您無法存取新的通行密鑰或安全金鑰，您可以啟用新的虛擬 MFA 裝置或硬體 TOTP 權杖。請參閱以下其中一項以取得說明：
+ [在 中指派虛擬 MFA 裝置 AWS 管理主控台](id_credentials_mfa_enable_virtual.md) 
+ [在 中指派硬體 TOTP 字符 AWS 管理主控台](id_credentials_mfa_enable_physical.md)