管理 AWS 建構家 ID 多重要素身分驗證 (MFA) - AWS 登入
可用MFA類型註冊您的裝置 AWS 建構家 ID MFA 將安全金鑰註冊為您的裝置 AWS 建構家 ID MFA 重新命名您的裝置 AWS 建構家 ID MFA 刪除MFA您的裝置

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 AWS 建構家 ID 多重要素身分驗證 (MFA)

多重要素驗證 (MFA) 是一種簡單且有效的機制,可增強您的安全性。第一個因素 — 您的密碼 — 是您記住的秘密,也稱為知識因素。其他因素可以是擁有因素 (您擁有的東西,例如安全金鑰) 或固有因素 (您本身的東西,例如生物特徵掃描)。我們強烈建議您設定 MFA,為您的 新增額外層 AWS 建構家 ID。

建議您註冊多個MFA裝置。例如,您可以註冊內建驗證器,也可以註冊存放在實體安全位置的安全金鑰。如果您無法使用內建身分驗證器,則可以使用已註冊的安全金鑰。對於身分驗證器應用程式,您也可以在這些應用程式中啟用雲端備份或同步功能。如果您遺失或中斷MFA裝置,這可協助您避免失去對設定檔的存取權。

注意

建議您定期檢閱已註冊MFA的裝置,以確保其為最新且正常運作。此外,您應該將這些裝置存放在不使用時實體安全的位置。如果您無法存取所有已註冊MFA的裝置,將無法復原您的 AWS 建構家 ID。

的可用MFA類型 AWS 建構家 ID

AWS 建構家 ID 支援下列多重要素身分驗證 (MFA) 裝置類型。

FIDO2 身分驗證器

FIDO2 是包含 WebAuthn CTAP2和 的標準,以公有金鑰密碼編譯為基礎。FIDO 憑證具有網路釣魚防護,因為它們對建立憑證的網站是唯一的,例如 AWS。

AWS 支援身分FIDO驗證器的兩種最常見形式因素:內建身分驗證器和安全金鑰。如需最常見FIDO身分驗證器類型的詳細資訊,請參閱下文。

內建身分驗證器

有些裝置具有內建身分驗證器,例如 上的 TouchID MacBook 或 Windows Hello 相容攝影機。如果您的裝置與 FIDO 通訊協定相容,包括 WebAuthn,您可以使用指紋或人臉作為第二個因素。如需詳細資訊,請參閱FIDO身分驗證

安全金鑰

您可以購買與 FIDO2相容的外部 USB、 BLE或 NFC連線的安全金鑰。系統提示您輸入MFA裝置時,請輕觸金鑰的感應器。 YubiKey 或 Feitian 建立相容的裝置。如需所有相容安全金鑰的清單,請參閱 FIDO Certified Products

密碼管理器、密碼金鑰提供者和其他FIDO身分驗證器

多個第三方供應商支援行動應用程式中的FIDO身分驗證,作為密碼管理器、具有 FIDO 模式的智慧卡和其他規格尺寸的功能。這些 FIDO相容的裝置可以與 IAM Identity Center 搭配使用,但建議您先自行測試FIDO身分驗證器,再為 啟用此選項MFA。

注意

有些FIDO身分驗證器可以建立可探索的FIDO憑證,稱為密碼金鑰。密碼金鑰可能繫結至建立密碼的裝置,也可能可同步並備份至雲端。例如,您可以在支援的 Macbook 上使用 Apple Touch ID 註冊密碼金鑰,然後使用 Google Chrome 搭配您的密碼金鑰從 Windows 筆記型電腦登入網站iCloud,方法是遵循登入時的螢幕提示。如需哪些裝置支援作業系統和瀏覽器之間的可同步密碼金鑰和目前密碼金鑰互通性的詳細資訊,請參閱位於 passkeys.dev 的裝置支援,這是 FIDO Alliance And World Wide Web Consortium (W3C) 維護的資源。 https://passkeys.dev/

驗證器應用程式

驗證器應用程式是一次性密碼 (OTP) 型第三方身分驗證器。您可以使用安裝在行動裝置或平板電腦上的身分驗證器應用程式作為授權MFA裝置。第三方身分驗證器應用程式必須符合 RFC 6238,這是標準型一次性密碼 (TOTP) 演算法,能夠產生六位數身分驗證碼。

提示輸入 時MFA,您必須在顯示的輸入方塊中輸入來自身分驗證器應用程式的有效程式碼。指派給使用者的每個MFA裝置都必須是唯一的。您可以為任何指定的使用者註冊兩個身分驗證器應用程式。

您可以從下列知名的第三方身分驗證器應用程式進行選擇。不過,任何 TOTP相容的應用程式都可以與 搭配使用 AWS 建構家 ID MFA。

作業系統 已測試的身分驗證器應用程式
Android 1PasswordAuthy、Duo MobileMicrosoft Authenticator、Google Authenticator
iOS 1PasswordAuthy、Duo MobileMicrosoft Authenticator、Google Authenticator

註冊您的裝置 AWS 建構家 ID MFA

注意

註冊 MFA、登出,然後在相同的裝置上登入後,您可能不會在信任MFA的裝置上收到 的提示。

使用身分驗證器應用程式註冊MFA您的裝置

  1. 在 登入您的 AWS 建構家 ID 設定檔https://profile.aws.amazon.com

  2. 選擇 Security (安全性)

  3. 安全頁面上,選擇註冊裝置

  4. 註冊MFA裝置頁面上,選擇驗證器應用程式

  5. AWS 建構家 ID 會操作和顯示組態資訊,包括 QR 碼圖形。圖形是「秘密組態金鑰」的表示法,可在不支援 QR 碼的身分驗證器應用程式中手動輸入。

  6. 開啟您的身分驗證器應用程式。如需應用程式清單,請參閱 驗證器應用程式

    如果身分驗證器應用程式支援多個MFA裝置或帳戶,請選擇 選項以建立新的MFA裝置或帳戶。

  7. 判斷MFA應用程式是否支援 QR 碼,然後在設定身分驗證器應用程式頁面上執行下列其中一項操作:

    1. 選擇顯示 QR 碼 ,然後使用應用程式掃描 QR 碼。例如,您可以選擇攝影機圖示或選擇類似於掃描碼 的選項。然後使用裝置的攝影機掃描程式碼。

    2. 選擇顯示秘密金鑰 ,然後在MFA應用程式中輸入該秘密金鑰。

    完成後,您的驗證器應用程式將產生並顯示一次性密碼。

  8. 驗證器程式碼方塊中,輸入目前出現在驗證器應用程式中的一次性密碼。選擇 AssignMFA (指派)。

    重要

    產生代碼之後立即提交您的請求。如果您產生程式碼,然後等待太久才提交請求,MFA裝置會成功與您的 建立關聯 AWS 建構家 ID,但MFA裝置不同步。這是因為以時間為基礎的一次性密碼 (TOTP) 會在短時間內過期。這種情況下,您可以重新同步裝置。如需詳細資訊,請參閱當我嘗試使用身份驗證器應用程序註冊或登錄時,收到消息「發生意外錯誤」

  9. 若要在 中為您的裝置提供易記的名稱 AWS 建構家 ID,請選擇重新命名 。此名稱可協助您區分此裝置與您註冊的其他人。

MFA 裝置現在可以與 搭配使用 AWS 建構家 ID。

將安全金鑰註冊為您的裝置 AWS 建構家 ID MFA

使用安全金鑰註冊MFA您的裝置

  1. 在 登入您的 AWS 建構家 ID 設定檔https://profile.aws.amazon.com

  2. 選擇 Security (安全性)

  3. 安全頁面上,選擇註冊裝置

  4. 註冊MFA裝置頁面上,選擇安全金鑰

  5. 確保您的安全金鑰已啟用。如果您使用單獨的實體安全金鑰,請將其連接至您的電腦。

  6. 請遵循畫面上的指示。您的體驗會因作業系統和瀏覽器而異。

  7. 若要在 中為您的裝置提供易記的名稱 AWS 建構家 ID,請選擇重新命名 。此名稱可協助您區分此裝置與您註冊的其他人。

MFA 裝置現在可以與 搭配使用 AWS 建構家 ID。

重新命名您的裝置 AWS 建構家 ID MFA

重新命名MFA您的裝置

  1. 在 登入您的 AWS 建構家 ID 設定檔https://profile.aws.amazon.com

  2. 選擇 Security (安全性)。當您抵達頁面時,您會看到重新命名顯示為灰色。

  3. 選取您要變更MFA的裝置。這可讓您選擇重新命名 。然後會出現對話方塊。

  4. 在開啟的提示中,在MFA裝置名稱 中輸入新名稱,然後選擇重新命名 。重新命名的裝置會顯示在多重要素驗證 (MFA) 裝置 下。

刪除MFA您的裝置

我們建議您保留兩個或多個作用中MFA裝置。移除裝置之前,請參閱 註冊您的裝置 AWS 建構家 ID MFA 以註冊替換MFA裝置。若要停用 的多重要素驗證 AWS 建構家 ID,請從設定檔中移除所有已註冊MFA的裝置。

若要刪除MFA裝置

  1. 在 登入您的 AWS 建構家 ID 設定檔https://profile.aws.amazon.com

  2. 選擇 Security (安全性)

  3. 選取您要變更MFA的裝置,然後選擇刪除

  4. 刪除MFA裝置?模態中,遵循指示刪除您的裝置。

  5. 選擇 刪除

刪除的裝置不再出現在多重要素驗證 (MFA) 裝置 下。