在中指派硬體TOTP權杖 AWS Management Console - AWS Identity and Access Management
必要許可為您自己的用IAM戶(控制台)啟用硬件TOTP令牌為其他IAM用戶啟用硬件TOTP令牌(控制台)更換實體MFA裝置

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在中指派硬體TOTP權杖 AWS Management Console

硬件TOTP令牌根據基於時間的一次性密碼(TOTP)算法生成六位數的數字代碼。使用者必須在登入程序期間出現提示時輸入裝置中的有效代碼。指派給使用者的每個MFA裝置都必須是唯一的;使用者無法從其他使用者的裝置輸入驗證碼。MFA裝置無法跨帳戶或使用者共用。

硬件TOTP令牌和FIDO安全密鑰都是您購買的物理設備。硬體MFA裝置會在您登入時產生驗證TOTP碼 AWS。他們依賴電池, AWS 隨著時間的推移,可能需要更換和重新同步。FIDO使用公開金鑰加密技術的安全金鑰不需要電池,並提供順暢的驗證程序。我們建議使用FIDO安全密鑰來抵禦網絡釣魚,這為TOTP設備提供了更安全的替代方案。此外,FIDO安全金鑰可以支援同一裝置上的多個IAM或 root 使用者,進而增強其帳戶安全性的公用程式。如需兩種裝置類型的規格及購買資訊,請參閱多重要素驗證

您可以從 AWS Management Console、指令行或啟IAM用使用者的硬體 TOTP Token IAM API。若要為您的MFA裝置啟用 AWS 帳戶根使用者,請參閱為根使用者啟用硬體TOTP權杖 (主控台)

您可以向您的 AWS 帳戶根使用者 和IAM使用者註冊最多八個MFA裝置,其中包含目前支援的MFA類型的任何組合。使用多個MFA裝置時,您只需要一部MFA裝置即可透過該使用者 AWS CLI 身分登入 AWS Management Console 或建立工作階段。

重要

我們建議您為用戶啟用多個MFA設備,以便在丟失或無法訪問的MFA設備時繼續訪問您的帳戶。

注意

如果要從指令列啟用MFA裝置,請使用aws iam enable-mfa-device。若要使用啟用MFA裝置 IAMAPI,請使用EnableMFADevice操作。

必要許可

若要管理您自己IAM使用者的硬體 TOTP Token,同時保護敏感MFA相關動作,您必須擁有下列原則的權限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

為您自己的用IAM戶(控制台)啟用硬件TOTP令牌

您可以從啟用您自己的硬體TOTP權杖 AWS Management Console。

注意

啟用硬體TOTP權杖之前,您必須擁有裝置的實體存取權。

為您自己的IAM用戶(控制台)啟用硬件TOTP令牌

  1. 使用您的 AWS 帳戶 ID 或帳戶別名、使用IAM者名稱和密碼登入IAM主機

    注意

    為方便起見, AWS 登入頁面會使用瀏覽器 Cookie 來記住您的使用IAM者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 Sign in to a different account (登入不同的帳戶),返回主要登入頁面。您可以在該處輸入帳 AWS 戶 ID 或帳戶別名,以重新導向至您帳戶的IAM使用者登入頁面。

    若要取得您的 AWS 帳戶 ID,請聯絡您的系統管理員。

  2. 在右上方的導覽列中,選擇您的使用者名稱,然後選擇 安全憑證

    AWS Management Console 安全認證連結

  3. 在 [AWS IAM認證] 索引標籤的 [多重要素驗證 (MFA)] 區段中,選擇 [指派MFA裝置]。

  4. 在精靈中,輸入裝置名稱,選擇 [硬體TOTP權杖],然後選擇 [下一步]。

  5. 輸入裝置序號。序號通常位於裝置的背面。

  6. 在字MFA碼 1 方塊中,輸入MFA裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。

    IAM儀表板,MFA設備

  7. 在裝置重新整理程式碼時等待 30 秒,然後在字MFA碼 2 方塊中輸入下一個六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。

  8. 選擇 [新增] MFA。

    重要

    產生驗證代碼之後立即提交您的請求。如果您產生驗證碼,然後等待太長時間才能提交要求,則MFA裝置會成功與使用者建立關聯,但MFA裝置會變成不同步。發生這種情況是因為基於時間的一次性密碼(TOTP)會在短時間後過期。這種情況下,您可以重新同步裝置

該設備已準備好與一起使用 AWS。如需與配合使用MFA的資訊 AWS Management Console,請參閱MFA已啟用登入

為其他IAM用戶啟用硬件TOTP令牌(控制台)

您可以從中為其他IAM使用者啟用硬體TOTP權杖 AWS Management Console。

若要為其他IAM使用者啟用硬體TOTP權杖 (主控台)

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇使用者

  3. 選擇您要啟用的使用者名稱MFA。

  4. 選擇 安全憑證 標籤。在 [多重要素驗證 (MFA)] 下,選擇 [指派MFA裝置]。

  5. 在精靈中,輸入裝置名稱,選擇 [硬體TOTP權杖],然後選擇 [下一步]。

  6. 輸入裝置序號。序號通常位於裝置的背面。

  7. 在字MFA碼 1 方塊中,輸入MFA裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。

    IAM儀表板,MFA設備

  8. 在裝置重新整理程式碼時等待 30 秒,然後在字MFA碼 2 方塊中輸入下一個六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。

  9. 選擇 [新增] MFA。

    重要

    產生驗證代碼之後立即提交您的請求。如果您產生驗證碼,然後等待太長時間才能提交要求,則MFA裝置會成功與使用者建立關聯,但MFA裝置會變成不同步。發生這種情況是因為基於時間的一次性密碼(TOTP)會在短時間後過期。這種情況下,您可以重新同步裝置

該設備已準備好與一起使用 AWS。如需與配合使用MFA的資訊 AWS Management Console,請參閱MFA已啟用登入

更換實體MFA裝置

與您的 AWS 帳戶根使用者 和使用者一次最多可以有八個MFA裝置,其中包含目前支援MFA類型的任何組合,指派給使IAM用者。如果使用者遺失裝置或基於任何原因需要汰換,您必須先停用舊裝置。然後,再為使用者加入新的裝置。