本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
提示使用者 MFA
您可以啟用安全存取 AWS 存取入口網站、IAM身分識別中心整合式應用程式, AWS CLI 通過啟用多因素身份驗證(MFA)。
重要
本節中的說明適用於 AWS IAM Identity Center
請使用下列步驟在IAM身分識別MFA中心主控台中啟用。在開始之前,我們建議您了解IAM身分識別中心的可用MFA類型.
注意
如果您使用外部 IdP,則無法使用多因素身份驗證部分。您的外部 IdP 會管理MFA設定,而非IAM身分識別中心管理這些設定。
若要啟用 MFA
-
開啟IAM身分識別中心主控台
。 -
在左側的導覽窗格中,選擇設定。
-
在 [設定] 頁面上,選擇 [驗證] 索引標籤。
-
在 [多重要素驗證] 區段中,選擇 [設定]。
-
在 [設定多因素驗證] 頁面的 [提示使用者] 下MFA,根據您的企業需要的安全性層級選擇下列其中一種驗證模式:
-
僅當他們的登錄上下文更改時(上下文感知)
在此模式下 (預設值),IAMIdentity Center 會提供使用者在登入期間信任其裝置的選項。在使用者指出要信任裝置之後,IAMIdentity Center 會提示使用者MFA一次,並分析使用者後續登入的登入內容 (例如裝置、瀏覽器和位置)。對於後續的登入,IAMIdentity Center 會判斷使用者是否使用先前受信任的內容登入。如果使用者的登入內容發生變更,IAMIdentity Center 會提示使用MFA者提供其電子郵件地址和密碼認證。
此模式為經常從工作場所登入的使用者提供易用性,因此他們不需要MFA在每次登入時都完成。只有在登入內容變更時,系統才會提示使用MFA者輸入。
-
每次他們登錄(始終在線)
在此模式中,IAMIdentity Center 要求擁有已註冊MFA裝置的使用者每次登入時都會收到提示。如果您的組織或合規性原則要求使用者MFA每次登入時都必須完成 AWS 存取入口網站。例如,PCIDSS強烈建議您MFA在每次登入時存取支援高風險付款交易的應用程式。
-
從不 (停用)
在此模式下,所有使用者只能使用其標準使用者名稱和密碼登入。選擇此選項會停用IAM身分識別中心MFA。
雖然MFA已停用使用者的 Identity Center 目錄,但您無法在其使用者詳細資料中管理MFA裝置,且 Identity Center 目錄使用者無法從 MFA AWS 存取入口網站。
注意
如果您已經使RADIUSMFA用 AWS Directory Service,並希望繼續使用它作為預設MFA類型,然後您可以將驗證模式保持為停用狀態,以略過 IAM Identity Center 中的MFA功能。從「停用」模式變更為「上下文感知」或「永遠開啟」模式,將會覆寫現有的設定。RADIUS MFA如需詳細資訊,請參閱RADIUS MFA。
-
-
選擇 Save changes (儲存變更)。
相關主題