在中指派虛擬MFA裝置 AWS Management Console - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在中指派虛擬MFA裝置 AWS Management Console

您可以使用手機或其他裝置做為虛擬多重要素驗證 (MFA) 裝置。若要這麼做,請安裝符合 RFC6238 標準 (以時間為基礎的一次性密碼TOTP) 演算法的行動應用程式。這些應用程式產生六位數的身分驗證代碼。由於它們可以在不安全的移動設備上運行,因此虛擬可MFA能不會提供與安全密鑰相同的安FIDO全級別。我們建議您在等待硬體購買核准或等待硬體送達時使用虛擬MFA裝置。

大多數虛擬MFA應用程序支持創建多個虛擬設備,允許您為多個 AWS 帳戶 或用戶使用同一個應用程序。您最多可以向您 AWS 帳戶根使用者 和IAM使用者註冊八個任意MFA類型組合的MFA裝置。您只需要一部MFA裝置即可登入 AWS Management Console 或透過建立工作階段 AWS CLI。我們建議您註冊多個MFA設備。對於驗證器應用程式,我們也建議您啟用雲端備份或同步功能,以協助您避免在裝置遺失或損壞時遺失帳戶的存取權。

AWS 需要一個產生六位數OTP的虛擬MFA應用程序。如需可使用的虛擬MFA應用程式清單,請參閱多重要素驗證

必要許可

若要為您的IAM使用者管理虛擬MFA裝置,您必須具有下列原則的權限:AWS:允許 MFA 驗證的 IAM 使用者在安全登入資料頁面上管理自己的 MFA 裝置

為IAM使用者啟用虛擬MFA裝置 (主控台)

您可以IAM在中使用,為帳戶中的使用IAM者啟用和管理虛擬MFA裝置。 AWS Management Console 您可以將標籤附加到資IAM源 (包括虛擬MFA裝置),以識別、組織和控制對這些資源的存取。您只能在使用 AWS CLI 或時標記虛擬MFA裝置 AWS API。若要使用 AWS CLI 或啟用和管理MFA裝置 AWS API,請參閱在 AWS CLI 或中指派MFA裝置 AWS API。如需標記IAM資源的更多資訊,請參閱AWS Identity and Access Management 資源標籤

注意

您必須擁有將託管使用者虛擬MFA裝置之硬體的實體存取權,才能進行設定MFA。例如,您可以MFA為將使用智能手機上運行的虛擬設MFA備的用戶進行配置。在這種情況下,您必須有可用的智慧型手機,才能完成精靈。因此,您可能想要讓使用者設定和管理自己的虛擬MFA裝置。在這種情況下,您必須授與使用者執行必要IAM動作的權限。如需授與這些權限的IAM原則範例,請參閱IAM教程:允許用戶管理其憑據和MFA設置和範例原則AWS:允許 MFA 驗證的 IAM 使用者在安全登入資料頁面上管理自己的 MFA 裝置

為IAM使用者啟用虛擬MFA裝置 (主控台)
  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇使用者

  3. 在「使者」清單中,選擇IAM使用者名稱。

  4. 選擇 安全憑證 標籤。在 [多重要素驗證 (MFA)] 下,選擇 [指派MFA裝置]。

  5. 在精靈中輸入 Device name,然後選擇 驗證器應用程式,再選擇 下一步

    IAM生成並顯示虛擬MFA設備的配置信息,包括 QR 碼圖形。此圖形代表「私密組態金鑰」,可用來在不支援 QR 碼的裝置上手動輸入。

  6. 開啟您的虛擬MFA應用程式。如需可用於託管虛擬MFA裝置的應用程式清單,請參閱多因素驗證

    如果虛擬MFA應用程式支援多個虛擬MFA裝置或帳戶,請選擇建立新虛擬MFA裝置或帳戶的選項。

  7. 判斷MFA應用程式是否支援 QR 碼,然後執行下列其中一項操作:

    • 從精靈中,選擇 Show QR code (顯示 QR 碼),然後使用應用程式掃描 QR 碼。這可能是使用設備的相機相機掃描代碼的相機圖標或掃描代碼選項。

    • 從精靈中選擇 [顯示秘密金鑰],然後在您的MFA應用程式中輸入秘密金鑰。

    完成後,虛擬MFA設備開始生成一次性密碼。

  8. 在 [設定裝置] 頁面的字MFA碼 1 方塊中,輸入虛擬MFA裝置中目前出現的一次性密碼。請等待 30 秒,裝置將產生新的一次性密碼。然後在MFA代碼 2 框中輸入第二個一次性密碼。選擇 [新增] MFA。

    重要

    產生代碼之後立即提交您的請求。如果您產生驗證碼,然後等待太長時間才能提交要求,則MFA裝置會成功與使用者建立關聯,但MFA裝置不同步。發生這種情況是因為基於時間的一次性密碼(TOTP)會在短時間後過期。這種情況下,您可以重新同步裝置

虛擬MFA裝置現在已準備就緒,可搭配使用 AWS。如需與配合使用MFA的資訊 AWS Management Console,請參閱MFA已啟用登入

更換虛擬MFA裝置

您 AWS 帳戶根使用者 和IAM使用者最多可以註冊八個不同MFA類型組合的MFA裝置。如果使用者遺失裝置或因任何原因需要更換裝置,請停用舊裝置。然後,再為使用者加入新的裝置。