AWS Multi-Factor Authentication (MFA) 是一种非常简便的最佳实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用 MFA 后,用户登录 AWS 网站时,系统将要求他们输入用户名和密码(第一安全要素 – 用户已知),以及来自其 AWS MFA 设备的身份验证代码(第二安全要素 – 用户已有)。这些多重要素结合起来将为您的 AWS 账户设置和资源提供更高的安全保护。

您可以为您的 AWS 账户以及在该账户下创建的各个 IAM 用户启用 AWS MFA。MFA 还可用于控制对 AWS 服务 API 的访问。

在您购买了支持的硬件或虚拟 MFA 设备后,AWS 便不再因使用 MFA 而收取额外的费用。

您也能对使用 MFA 的跨账户访问进行保护。

  虚拟 MFA 设备 硬件遥控钥匙 MFA 设备 硬件显卡 MFA 设备 SMS MFA 设备 (预览版) 适用于 AWS GovCloud (US) 的
硬件遥控钥匙
MFA 设备

设备

见下表。
购买 购买 使用您的移动设备。 购买
物理设备尺寸 使用您现有的智能手机或平板电脑,只要它能够运行支持开放 TOTP 标准的应用程序。 由第三方供应商 Gemalto 提供的防篡改硬件遥控钥匙。 由第三方供应商 Gemalto 提供的防篡改硬件显卡设备。 任何可接收短信 (SMS) 的移动设备。 由第三方供应商 SurePassID 提供的防篡改硬件遥控钥匙。
价格 免费 12.99 USD 19.99 USD 可能需要支付 SMS 或数据费用。 15.95 USD
功能 在一个设备上支持多个令牌。 许多金融服务机构和企业 IT 组织采用的同一设备类型。 类似于遥控钥匙设备,外形轻巧,能像信用卡一样放在钱包里。 以较低的设置费用提供熟悉的选项。
用于
AWS GovCloud (US) 账户的遥控钥匙设备。

AWS GovCloud (US) 的兼容性
     
与根账户的兼容性    
与 IAM 用户的兼容性

从针对您的手机类型的应用程序商店为您的智能手机安装应用程序。下表罗列了一些适合各种智能手机的应用程序。

对于 SMS MFA 预览版,我们不再接受新的参与者。我们鼓励您使用硬件或虚拟 MFA 设备在 AWS 账户上使用 MFA。

如果您是现有 SMS MFA 参与者,可以导航至 IAM 控制台并为 IAM 用户启用 SMS MFA。此过程需要输入各 IAM 用户的电话号码。接下来,当 IAM 用户登录 AWS 管理控制台时,他们会通过标准 SMS 文本消息收到一个六位数的安全代码,且必须在登录过程中输入该代码。

更多有关 AWS Multi-factor Authentication 的信息,请参阅 IAM 常见问题