本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM身分識別中心的可用MFA類型
多重要素驗證 (MFA) 是一種簡單而有效的機制,可增強使用者的安全性。用戶的第一個因素-他們的密碼-是他們記住的秘密,也被稱為知識因素。其他因素可能是擁有因素(您擁有的東西,例如安全密鑰)或固有因素(您所屬的東西,例如生物識別掃描)。強烈建議您設定MFA為為帳戶增加額外的安全層。
IAM身分識別中心MFA支援下列裝置類型。所有MFA類型都支援以瀏覽器為基礎的主控台存取以及使用 AWS CLI v2 與IAM身分識別中心。
-
FIDO2驗證者,包括內建驗證器和安全金鑰
-
通過連接您自己的RADIUS MFA實施 AWS Managed Microsoft AD
一個用戶最多可以有八個MFA設備,其中包括最多兩個虛擬身份驗證器應用程序和六個FIDO身份驗證器,註冊到一個帳戶。您也可以設定MFA啟用設定,使其在使用者MFA每次登入時都要求使用,或啟用每次登入MFA時不需要的受信任裝置。如需如何為使用者設定MFA類型的詳細資訊,請參閱選擇使用者驗證的MFA類型和設定MFA裝置強制。
FIDO2驗證者
FIDO2
AWS 支援FIDO驗證器的兩種最常見的外形規格:內建驗證器和安全金鑰。如需最常見FIDO驗證器類型的詳細資訊,請參閱下方。
內建驗證器
許多現代計算機和移動電話都內置了身份驗證器,例如 Macbook 上的觸摸 ID 或與 Windows 幫助兼容的攝像頭。如果您的設備具有FIDO兼容的內置身份驗證器,則可以使用指紋,臉部或設備 PIN 作為第二因素。
安全金鑰
安全金鑰是FIDO相容的外部硬體驗證器,您可以透過USB、BLE或購買並連線至裝置。NFC當系統提示您輸入時MFA,您只需使用按鍵的感應器完成一個手勢即可。安全密鑰的一些示例包括 YubiKeys 和 Feitian 密鑰,最常見的安全密鑰創建了綁定設備FIDO的憑據。如需所有FIDO認證安全金鑰的清單,請參閱FIDO認證產品
密碼管理員、金鑰提供者和其他FIDO驗證器
多個第三方提供商支持移動應用程序中的FIDO身份驗證,如密碼管理器中的功能,具有FIDO模式的智能卡和其他外形規格。這些FIDO相容裝置可與 IAM Identity Center 搭配使用,但我們建議您在啟用此選項之前,先自行測試FIDO驗證器。MFA
注意
某些FIDO驗證器可以建立稱為「密碼金鑰」的可搜尋FIDO認證。密碼金鑰可能會繫結至建立密碼的裝置,也可能是同步纜線並備份到雲端。例如,您可以在支援的 Macbook 上使用 Apple Touch ID 註冊金鑰,然後在登入時iCloud按照螢幕上的提示,使用谷歌瀏覽器使用您的金鑰從 Windows 筆記型電腦登入網站。如需有關哪些裝置 Support 同步纜線金鑰以及作業系統和瀏覽器之間目前金鑰互通性的詳細資訊,請參閱 passkeys.dev
虛擬驗證器應用程式
驗證器應用程式基本上是一次性密碼 (OTP) 型第三方驗證器。您可以使用安裝在行動裝置或平板電腦上的驗證器應用程式做為授權裝MFA置。協力廠商驗證器應用程式必須符合 RFC 6238,這是一種以標準為基礎的一次性密碼 (TOTP) 演算法,能夠產生六位數驗證碼。
系統提示您輸入時MFA,使用者必須在顯示的輸入方塊中輸入來自其驗證器應用程式的有效代碼。指派給使用者的每個MFA裝置都必須是唯一的。任何指定使用者都可以註冊兩個驗證器應用程式。
測試驗證器應用程式
任何TOTP符合標準的應用程式都可以與IAM身分識別中心 MFA 下表列出了可供選擇的知名第三方身份驗證器應用程序。
作業系統 | 測試驗證器應用程式 |
---|---|
Android | Authy |
iOS | Authy |
RADIUS MFA
遠端驗證撥入使用者服務 (RADIUS)
您可以使用RADIUSMFA或IAM身分識別MFA中心來登入使用者入口網站的使用者登入,但不能同時使用兩者。MFAIAM身分識別中心是在您想要的情RADIUSMFA況下的替代方案 AWS 用於訪問門戶的本地雙因素身份驗證。
當您MFA在IAM身分識別中心中啟用時,您的使用者需要MFA裝置才能登入 AWS 存取入口網站。如果您先前使用過 RADIUSMFA,則MFA在 IAM Identity Center 中啟RADIUSMFA用會有效地覆寫登入 AWS 存取入口網站。不過,當使用者登入所有其他可搭配使用的應用程式時,他們會RADIUSMFA繼續挑戰 AWS Directory Service,如 Amazon WorkDocs。
如果您MFA在IAM身分識別中心主控台上已停用,且您已RADIUSMFA設定 AWS Directory Service,RADIUSMFA治理 AWS 存取入口網站登入。這表示如MFA果停用,IAM身分識別中心會退回RADIUSMFA組態。