為使用者註冊 MFA 裝置 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為使用者註冊 MFA 裝置

IAM Identity Center 管理員可以在 IAM Identity Center 主控台中設定新的 MFA 裝置,供特定使用者存取。管理員必須擁有使用者 MFA 裝置的實體存取權才能註冊。例如,如果您為將在智慧型手機上執行的 MFA 裝置的使用者設定 MFA,您將需要智慧型手機的實體存取權才能完成註冊程序。或者,您可以允許使用者設定和管理自己的 MFA 裝置。如需詳細資訊,請參閱允許使用者註冊自己的 MFA 裝置

註冊 MFA 裝置

  1. 開啟 IAM Identity Center 主控台

  2. 在左側導覽窗格中,選擇 Users (使用者)。在清單中選擇使用者。請勿選取此步驟的使用者旁的核取方塊。

  3. 在使用者詳細資訊頁面上,選擇 MFA 裝置索引標籤,然後選擇註冊 MFA 裝置

  4. 註冊 MFA 裝置頁面上,選取下列其中一個 MFA 裝置類型,然後遵循指示:

    • 驗證器應用程式

      1. 設定驗證器應用程式頁面上,IAM Identity Center 會顯示新 MFA 裝置的組態資訊,包括 QR 碼圖形。圖形是秘密金鑰的表示法,可在不支援 QR 碼的裝置上手動輸入。

      2. 使用實體 MFA 裝置,執行下列動作:

        1. 開啟相容的 MFA 驗證器應用程式。如需可搭配 MFA 裝置使用之測試應用程式清單,請參閱虛擬驗證器應用程式。如果 MFA 應用程式支援多個帳戶 (多個 MFA 裝置),請選擇建立新帳戶 (新 MFA 裝置) 的選項。

        2. 判斷 MFA 應用程式是否支援 QR 代碼,然後在設定驗證器應用程式頁面上執行下列其中一項操作:

          1. 選擇顯示 QR 碼,然後使用應用程式掃描 QR 碼。例如,您可以選擇攝影機圖示或選擇類似於掃描碼的選項。然後使用裝置的攝影機掃描程式碼。

          2. 選擇顯示私密金鑰,然後在 MFA 應用程式中輸入該私密金鑰。

            重要

            當您為 IAM Identity Center 設定 MFA 裝置時,建議您將 QR 碼或私密金鑰的副本儲存在安全的地方。如果指派的使用者遺失電話或必須重新安裝 MFA 驗證器應用程式,這可能會有所幫助。如果發生這些情況,您可以快速重新設定應用程式以使用相同的 MFA 組態。這樣就不需要在 IAM Identity Center 中為使用者建立新的 MFA 裝置。

      3. 設定驗證器應用程式頁面的驗證器程式碼下,輸入目前出現在實體 MFA 裝置上的一次性密碼。

        重要

        產生代碼之後立即提交您的請求。如果您產生程式碼,然後等待太久才提交請求,MFA 裝置就會成功與使用者建立關聯。但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置。

      4. 選擇 Assign MFA (指派 MFA)。MFA 裝置現在可以開始產生一次性密碼,現在可以與 搭配使用 AWS。

    • 安全金鑰

      1. 註冊使用者的安全金鑰頁面上,遵循瀏覽器或平台提供給您的指示。

        注意

        此處的體驗會因不同的作業系統和瀏覽器而異,因此請依照瀏覽器或平台顯示的指示進行。成功註冊使用者的裝置後,您可以選擇將易記顯示名稱與使用者新註冊的裝置建立關聯。如果您想要變更此項目,請選擇重新命名、輸入新名稱,然後選擇儲存。如果您已啟用 選項以允許使用者管理自己的裝置,使用者將在 AWS 存取入口網站中看到此易記名稱。