IAM 多重身份验证(MFA)
IAM 可用的 MFA 方法
您可以在 IAM 控制台中管理 MFA 设备。以下选项是 IAM 支持的 MFA 方法。
FIDO 安全密钥
经 FIDO 认证的硬件安全密钥由 Yubico 等第三方提供商提供。FIDO 联盟维护所有与 FIDO 规范兼容的 FIDO 认证产品清单。FIDO 身份验证标准基于公钥加密,可实现比密码更安全的强大、防网络钓鱼的身份验证。FIDO 安全密钥支持多个根账户和 IAM 用户使用单个安全密钥。AWS GovCloud(美国)地区和其他 AWS 区域的 IAM 用户支持 FIDO 安全密钥。有关启用 FIDO 安全密钥的更多信息,请参阅启用 FIDO 安全密钥。
AWS 向美国符合条件的 AWS 账户所有者提供免费 MFA 安全密钥。要确定资格并订购密钥,请参阅 Security Hub 控制台。
虚拟身份验证器应用程序
虚拟身份验证器应用程序实现基于时间的一次性密码(TOTP)算法,并支持在单个设备上使用多个令牌。AWS GovCloud(美国)区域和其他 AWS 区域的 IAM 用户支持虚拟身份验证器。有关启用虚拟身份验证器的更多信息,请参阅启用虚拟多重身份验证(MFA)设备。
您可以从应用商店将特定于您智能手机类型的应用安装在智能手机上。一些应用程序提供商还提供 Web 和桌面应用程序。有关示例,请参见下表。
硬件 TOTP 令牌
硬件令牌还支持 TOTP 算法,由第三方提供商 Thales 提供。 这些令牌仅供 AWS 账户使用。有关更多信息,请参阅启用硬件 MFA 设备。
为了确保与 AWS 的兼容性,您必须通过此页面上的链接购买 MFA 令牌。从其他来源购买的两排可能无法在 IAM 中使用,因为 AWS 需要唯一的 “令牌种子”,即制作令牌时生成的密钥。只有通过此页面上的链接购买的令牌才能安全地与 AWS 共享其令牌种子。MFA 令牌以两种形式提供:OTP 令牌和 OTP 显示卡。
适用于 AWS GovCloud(美国)区域的硬件 TOTP 令牌
硬件 TOTP 令牌与 AWS GovCloud(美国)区域兼容,由第三方提供商 Hypersecu 提供。这些令牌仅供拥有 AWS GovCloud(美国)账户的 IAM 用户使用。
为了确保与 AWS 的兼容性,您必须通过此页面上的链接购买 MFA 令牌。从其他来源购买的两排可能无法在 IAM 中使用,因为 AWS 需要唯一的 “令牌种子”,即制作令牌时生成的密钥。只有通过此页面上的链接购买的令牌才能安全地与 AWS 共享其令牌种子。MFA 令牌以 OTP 令牌格式提供。
了解如何开始使用 AWS IAM