本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
提示使用者 MFA
您可以透過 AWS CLI 啟用多重要素身分驗證 (),啟用 AWS 存取入口網站、IAM身分中心整合應用程式和 的安全存取MFA。
重要
本節中的說明適用於 AWS IAM Identity Center
使用下列步驟在 IAM Identity Center 主控台MFA中啟用 。在開始之前,建議您了解 IAM Identity Center 的可用MFA類型。
注意
如果您使用的是外部 IdP ,則多重要素身分驗證區段將無法使用。您的外部 IdP 會管理MFA設定,而不是 IAM Identity Center 管理設定。
若要啟用 MFA
-
在左側的導覽窗格中,選擇設定。
-
在設定頁面上,選擇身分驗證索引標籤。
-
在多重要素身分驗證區段中,選擇設定 。
-
在設定多重要素身分驗證頁面的提示使用者MFA下,根據企業所需的安全層級,選擇下列其中一個身分驗證模式:
-
只有在其登入內容變更時 (context-aware)
在此模式下 (預設),IAMIdentity Center 提供使用者在登入期間信任其裝置的選項。使用者指出他們想要信任裝置後,IAMIdentity Center 會提示使用者MFA一次,並分析使用者後續登入的登入內容 (例如裝置、瀏覽器和位置)。對於後續登入, IAM Identity Center 會判斷使用者是否使用先前信任的內容登入。如果使用者的登入內容發生變更,IAMIdentity Center MFA 會在使用者的電子郵件地址和密碼憑證之外,提示使用者 。
此模式為經常從其工作場所登入的使用者提供易用性,因此他們不需要在每次登入MFA時完成。只有在其登入內容變更MFA時,才會提示他們。
-
每次他們登入時 (永遠開啟)
在此模式下,IAMIdentity Center 要求具有已註冊MFA裝置的使用者在每次登入時都會收到提示。如果您有組織或合規政策,要求使用者MFA在每次登入 AWS 存取入口網站時完成,您應該使用此模式。例如,PCIDSS強烈建議在每次登入MFA期間存取支援高風險付款交易的應用程式。
-
從不 (已停用)
在此模式下,所有使用者只會使用其標準使用者名稱和密碼登入。選擇此選項會停用 IAM Identity Center MFA。
為使用者MFA停用 Identity Center 目錄時,您無法在其使用者詳細資訊中管理MFA裝置,而 Identity Center 目錄使用者無法從 AWS 存取入口網站管理MFA裝置。
注意
如果您已經使用 RADIUSMFA搭配 AWS Directory Service,並想要繼續使用它做為預設MFA類型,則可以將身分驗證模式保留為停用狀態,以略過 IAM Identity Center 中的MFA功能。從停用模式變更為上下文感知或永遠開啟模式會覆寫現有的RADIUSMFA設定。如需詳細資訊,請參閱RADIUS MFA。
-
-
選擇 Save changes (儲存變更)。
相關主題
