AWS Multi-Factor Authentication (MFA) 會在使用者名稱和密碼之外再增加一層保護,是一個簡易的最佳實務。啟用 MFA 之後,當使用者登入 AWS 網站時,系統將提示他們輸入使用者名稱和密碼 (第一重關卡 – 他們知道的資訊),以及來自其 AWS MFA 裝置的身份驗證回應 (第二重關卡 – 他們擁有的資訊)。這多個要素共同為您的 AWS 帳戶設定和資源提供更高的安全保護。

您可以為 AWS 帳戶以及在該帳戶下建立的個別 IAM 使用者啟用 MFA。MFA 也可用於控制對 AWS 服務 API 的存取。

取得支援的 U2F 安全金鑰、硬體裝置或虛擬 MFA 裝置後,AWS 便不會針對使用 MFA 收取額外的費用。

您也可以使用 MFA 保護跨帳戶存取

mfa_video
如何為您的 AWS 使用者帳戶啟用 Multi-Factor Authentication (MFA)
  虛擬 MFA 裝置 Universal 2nd Factor (U2F) 安全金鑰 硬體金鑰包 MFA 裝置 硬體顯示卡 MFA 裝置 SMS MFA 裝置 (預覽版) 硬體金鑰包
適用於 AWS GovCloud (美國) 的
MFA 裝置

裝置

請參閱下表。
購買 購買 購買 使用您的行動裝置。 購買
實體裝置規格 使用現有的智慧型手機或平板電腦,執行可支援開放 TOTP 標準的任何應用程式。 由第三方供應商 Yubico 提供的耐用、防水且抗压的硬體 YubiKey 安全金鑰。 由第三方供應商 Gemalto 提供的防篡改硬體金鑰包裝置。 由第三方供應商 Gemalto 提供的防篡改硬體顯示卡裝置。 任何可接收簡訊服務 (SMS) 訊息的行動裝置。 由第三方供應商 SurePassID 提供的防篡改硬體金鑰包裝置。
價格 免費 40,00 USD 12.99 USD 19.99 USD 可能需要支付 SMS 或資料費用。 15.95 USD
功能 在一個裝置上支援多個字符。 使用單一安全金鑰支援多個根和 IAM 使用者。 許多金融服務機構和企業 IT 組織採用的同一裝置類型。 與金鑰包裝置類似,外形輕巧,可像信用卡一樣放在皮夾中。 熟悉的選項和低廉的設定費。 此金鑰包裝置
只能與
AWS GovCloud (美國) 帳戶搭配使用。
與 AWS GovCloud (美國)
相容
       
與根帳戶相容    
與 IAM 使用者相容

您可以從您的手機類型專屬的應用程式商店安裝智慧型手機適用的應用程式。下表列出一些適合各種智慧型手機類型的應用程式。

AWS 支援 U2F 安全金鑰作為 MFA 裝置,以使用特定 Web 瀏覽器存取 AWS 管理主控台。建議您使用用於 AWS 主控台行動應用程式的虛擬或硬體 MFA。如需詳細資訊,請檢閱與 AWS 支援的 U2F 安全金鑰關聯的組態

我們不再接受新的 SMS MFA 預覽版參與者。 建議您透過 U2F 安全金鑰、硬體裝置或虛擬 (軟體型) MFA 裝置,在您的 AWS 帳戶使用 MFA。

現有 SMS MFA 參與者 – 2019 年 2 月 1 日開始,如果 IAM 使用者設定「SMS MFA 裝置」,AWS 不會再要求 IAM 使用者輸入 MFA 六位數代碼。這些使用者登入時也不再提供 SMS 代碼給他們。建議您透過 U2F 安全金鑰、硬體裝置或虛擬 (軟體型) MFA 裝置使用 MFA。您可以在 2019 年 1 月 31 日之前繼續使用此功能。

如需 AWS Multi-Factor Authentication 的詳細資訊,請參閱 IAM 常見問答集