設定 MFA 裝置強制 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 MFA 裝置強制

使用下列程序來判斷您的使用者在登入AWS存取入口網站時是否必須擁有已註冊的 MFA 裝置。

為您的使用者設定 MFA 裝置強制

  1. 開啟 IAM 身分中心主控台

  2. 在左側的導覽窗格中,選擇設定

  3. 在 [定] 頁面上,選擇 [驗證] 索引標籤。

  4. 在 [多重要素驗證] 區段中,選擇 [設定]。

  5. 在 [設定多因素驗證] 頁面的 [如果使用者尚未註冊的 MFA 裝置] 下,根據您的業務需求,選擇下列其中一個選項:

    • 要求他們在登入時註冊 MFA 裝置

      這是您第一次為 IAM 身分中心設定 MFA 時的預設設定。當您想要求尚未註冊 MFA 裝置的使用者在密碼驗證成功後在登入期間自行註冊裝置時,請使用此選項。這可讓您使用 MFA 保護組織的AWS環境,而不必個別註冊驗證裝置並分發給使用者。在自我註冊期間,您的使用者可以從您先前啟用的IAM 身分中心可用的 MFA 類型可用裝置註冊任何裝置。完成註冊後,使用者可以選擇為新註冊的 MFA 裝置提供一個易記的名稱,然後 IAM Identity Center 會將使用者重新導向至其原始目的地。如果使用者的裝置遺失或遭竊,您只要從其帳戶中移除該裝置,IAM Identity Center 就會要求使用者在下次登入時自行註冊新裝置。

    • 要求他們提供以電子郵件發送的一次性密碼以登錄

      如果您想要透過電子郵件傳送驗證碼給使用者,請使用此選項。由於電子郵件未綁定到特定設備,因此此選項不符合行業標準多因素身份驗證的標準。但是它確實提高了安全性,而不是單獨使用密碼。只有在使用者尚未註冊 MFA 裝置時,才會要求電子郵件驗證。如果已啟用內容感知驗證方法,使用者將有機會將收到電子郵件的裝置標示為受信任。之後,他們將不需要在 future 從該設備,瀏覽器和 IP 地址組合登錄時驗證電子郵件代碼。

      注意

      如果您使用 Active Directory 做為已啟用 IAM 身分識別中心的身分識別來源,電子郵件地址將永遠以 Active Directory email 屬性為基礎。自訂使用中目錄屬性對應不會覆寫此行為。

    • 封鎖他們的登入

      如果您想要在每個使用者登入之前強制使用 MFA,請使用「封鎖他們的登入」選項。AWS

      重要

      如果您的驗證方法設定為「內容感知」,使用者可能會選取登入頁面上的 [這是受信任的裝置] 核取方塊。在這種情況下,即使您已啟用 [封鎖他們的登入] 設定,系統也不會提示該使用者輸入 MFA。如果您想要提示這些使用者,請將驗證方法變更為 [永遠開啟]。

    • 允許他們登入

      使用此選項表示不需要 MFA 裝置,您的使用者才能登入AWS存取入口網站。選擇註冊 MFA 裝置的使用者仍會收到 MFA 的提示。

  6. 選擇儲存變更