AWS Multi-Factor Authentication (MFA) – оптимальный метод, который вводит дополнительный уровень защиты, помимо проверки имени пользователя и пароля. При включенном режиме MFA пользователю, входящему на сайт AWS, предлагается сначала указать свои имя пользователя и пароль (первый фактор – их нужно знать), а затем запрашивается код аутентификации с устройства AWS MFA (второй фактор – их наличие). Таким образом, совместное использование этих факторов обеспечивает повышенный уровень безопасности настроек и ресурсов аккаунта AWS.

Использование MFA можно включить как для всего аккаунта AWS, так и для отдельных пользователей IAM, которые были созданы в этом аккаунте. С помощью сервиса MFA можно также управлять доступом к API сервиса AWS.

Для использования MFA необходимо приобрести поддерживаемое аппаратное или виртуальное устройство MFA. Никакие другие дополнительные платы не взимаются.

С помощью MFA можно также защитить доступ к нескольким аккаунтам.

mfa_video
How to Enable Multi-Factor Authentication (MFA) for Your AWS User Account
  Виртуальное устройство MFA Аппаратный носитель ключа MFA Аппаратная смарт-карта MFA с дисплеем Устройство SMS MFA (режим ознакомления) Аппаратный носитель ключа
Устройство MFA для
AWS GovCloud (США)

Устройство

См. таблицу ниже.
Купить. Купить. Используйте мобильные устройства. Купить.
Физический формат Используйте имеющийся смартфон или планшет с приложением, которое поддерживает открытый стандарт TOTP. Невскрываемый аппаратный ключ, поставляемый сторонним поставщиком Gemalto. Невскрываемая смарт-карта, поставляемая сторонним поставщиком Gemalto. Любое мобильное устройство, способное принимать короткие текстовые сообщения (SMS). Аппаратный ключ с защитой от вскрытия, поставляемый сторонним поставщиком SurePassID.
Цена Бесплатно 12,99 USD 19,99 USD Может взиматься плата за SMS и передачу данных. 15,95 USD
Возможности Поддержка нескольких токенов на одном устройстве. Устройства такого же типа используются в большинстве финансовых сервисов и крупных ИТ-компаний. Похоже на брелоки с ключом, но в удобном корпусе, который помещается в бумажник, как кредитная карта. Уже знакомая возможность с низкой стоимостью настройки. Аппаратный носитель ключа
исключительно для использования с
аккаунтами AWS GovCloud (США).
Совместимость с
AWS GovCloud (США)
     
Совместимость с аккаунтом Root    
Совместимость с пользователем IAM

Приложения для смартфона можно загрузить из магазина приложений для конкретного типа телефона. В следующей таблице приведены некоторые приложения для различных типов смартфонов.

Мы больше не регистрируем новых участников на режим ознакомления с сервисом MFA с помощью SMS. Мы рекомендуем использовать MFA в аккаунтах AWS с аппаратным или виртуальным (программным) устройством MFA.

Для существующих участников MFA с помощью SMS: с 1 февраля 2019 года AWS больше не будет требовать от пользователей IAM ввода шестизначного кода MFA, если пользователь IAM настроен с помощью «устройства SMS MFA». Эти пользователи больше не будут получать SMS-код при входе в систему. Мы рекомендуем использовать MFA с аппаратным или виртуальным (программным) устройством MFA. Возможность MFA с помощью SMS можно продолжать использовать до 31 января 2019 года.

Дополнительные сведения о многофакторной аутентификации AWS см. в разделе Вопросы и ответы по IAM.