IAM 多重身份验证(MFA)

AWS 多重身份验证 (MFA)是一种 AWS Identity and Access Management(IAM) 最佳实践,除了用户名和密码登录凭证外,还需要第二种身份验证因素。您可以在 AWS 账户级别为在该账户下创建的根用户和 IAM 用户启用 MFA。
 
AWS 正在扩展其免费 MFA 安全密钥计划的资格。验证您的资格并订购免费 MFA 密钥
 
启用 MFA 后,当用户登录 AWS 管理控制台时,系统会提示他们输入用户名和密码 (即他们知道的东西)以及来自 MFA 设备的身份验证码 (即他们拥有的东西),或者如果他们使用支持生物识别的身份验证器,则是 他们的身份。综合来看,这些因素可提高 AWS 账户和资源的安全性。
 
我们建议您要求您的人类用户在访问 AWS 时使用临时凭证。您的用户可以使用身份提供者联合到 AWS,在那里他们可以使用其公司凭证和 MFA 配置进行身份验证。要管理对 AWS 和业务应用程序的访问权限,我们建议您使用 AWS IAM Identity Center。有关更多信息,请参阅 IAM Identity Center 用户指南
 
请参阅以下可用的 MFA 选项,您可以在 IAM MFA 实施中使用这些选项。您可以通过提供的链接下载虚拟身份验证器应用程序,也可以从相应制造商处购买硬件 MFA 设备。在您获得了支持的虚拟或硬件 MFA 设备后,AWS 便不再因使用 MFA 而收取额外的费用。

IAM 可用的 MFA 方法

您可以在 IAM 控制台中管理 MFA 设备。以下选项是 IAM 支持的 MFA 方法。

FIDO 安全密钥

经 FIDO 认证的硬件安全密钥由 Yubico 等第三方提供商提供。FIDO 联盟维护所有与 FIDO 规范兼容的 FIDO 认证产品清单。FIDO 身份验证标准基于公钥加密,可实现比密码更安全的强大、防网络钓鱼的身份验证。FIDO 安全密钥支持多个根账户和 IAM 用户使用单个安全密钥。AWS GovCloud(美国)地区和其他 AWS 区域的 IAM 用户支持 FIDO 安全密钥。有关启用 FIDO 安全密钥的更多信息,请参阅启用 FIDO 安全密钥

AWS 向美国符合条件的 AWS 账户所有者提供免费 MFA 安全密钥。要确定资格并订购密钥,请参阅 Security Hub 控制台

安全密钥图标

虚拟身份验证器应用程序

虚拟身份验证器应用程序实现基于时间的一次性密码(TOTP)算法,并支持在单个设备上使用多个令牌。AWS GovCloud(美国)区域和其他 AWS 区域的 IAM 用户支持虚拟身份验证器。有关启用虚拟身份验证器的更多信息,请参阅启用虚拟多重身份验证(MFA)设备

您可以从应用商店将特定于您智能手机类型的应用安装在智能手机上。一些应用程序提供商还提供 Web 和桌面应用程序。有关示例,请参见下表。

虚拟身份验证器应用程序图标

硬件 TOTP 令牌

硬件令牌还支持 TOTP 算法,由第三方提供商 Thales 提供。 这些令牌仅供 AWS 账户使用。有关更多信息,请参阅启用硬件 MFA 设备

为了确保与 AWS 的兼容性,您必须通过此页面上的链接购买 MFA 令牌。从其他来源购买的两排可能无法在 IAM 中使用,因为 AWS 需要唯一的 “令牌种子”,即制作令牌时生成的密钥。只有通过此页面上的链接购买的令牌才能安全地与 AWS 共享其令牌种子。MFA 令牌以两种形式提供:OTP 令牌OTP 显示卡

适用于 AWS GovCloud(美国)区域的硬件 TOTP 令牌

硬件 TOTP 令牌与 AWS GovCloud(美国)区域兼容,由第三方提供商 Hypersecu 提供。这些令牌仅供拥有 AWS GovCloud(美国)账户的 IAM 用户使用。

为了确保与 AWS 的兼容性,您必须通过此页面上的链接购买 MFA 令牌。从其他来源购买的两排可能无法在 IAM 中使用,因为 AWS 需要唯一的 “令牌种子”,即制作令牌时生成的密钥。只有通过此页面上的链接购买的令牌才能安全地与 AWS 共享其令牌种子。MFA 令牌以 OTP 令牌格式提供。

TOTP 硬件令牌图标

了解如何开始使用 AWS IAM

访问入门页面
准备好开始构建了吗?
AWS IAM 入门
还有更多问题?
联系我们