IAM 多重身份验证(MFA)

什么是 MFA?

AWS 多重身份验证(MFA)是一种 AWS Identity and Access Management(IAM)最佳实践,除了用户名和密码登录凭证外,还需要第二种身份验证因素。您可以在 AWS 账户级别为在该账户下创建的根用户和 IAM 用户启用 MFA。 
 
AWS 正在扩展其免费 MFA 安全密钥计划的资格。验证您的资格并订购免费 MFA 密钥
 
启用 MFA 后,当用户登录 AWS 管理控制台时,系统会提示他们输入用户名和密码 (即他们知道的东西)以及来自 MFA 设备的身份验证码 (即他们拥有的东西),或者如果他们使用支持生物识别的身份验证器,则是 他们的身份。综合来看,这些因素可提高 AWS 账户和资源的安全性。
 
我们建议您要求您的人类用户在访问 AWS 时使用临时凭证。您的用户可以使用身份提供者联合到 AWS,在那里他们可以使用其公司凭证和 MFA 配置进行身份验证。要管理对 AWS 和业务应用程序的访问权限,我们建议您使用 AWS IAM Identity Center。有关更多信息,请参阅 IAM Identity Center 用户指南
 
请参阅以下可用的 MFA 选项,您可以在 IAM MFA 实施中使用这些选项。您可以通过提供的链接下载虚拟身份验证器应用程序,也可以从相应制造商处购买硬件 MFA 设备。在您获得了支持的虚拟或硬件 MFA 设备后,AWS 便不再因使用 MFA 而收取额外的费用。

IAM 可用的 MFA 方法

您可以在 IAM 控制台中管理 MFA 设备。以下选项是 IAM 支持的 MFA 方法。

密钥和安全密钥

密码和安全密钥基于 FIDO 标准,以便更轻松、更安全地在用户的多台设备上登录。FIDO 身份验证标准基于公钥加密,可实现比密码更安全的强大、防网络钓鱼的身份验证。密钥由您选择的密钥提供商(例如 iCloud Keychain、Google Password Manager、1Password 或 Dashlane)使用您的指纹、面部或设备 PIN 创建,并且会在您的设备之间同步以使用 AWS 登录。客户还可以使用由第三方提供商(例如 Yubico)提供的设备绑定密钥,也称为安全密钥。FIDO 联盟维护所有与 FIDO 规范兼容的 FIDO 认证产品清单。FIDO 安全密钥可以使用单个安全密钥支持多个根账户和 IAM 用户。除由光环新网运营的 AWS 中国(北京)区域和由西云数据运营的 AWS(宁夏)区域外,所有 AWS 区域的根用户和 IAM 用户均支持密钥和安全密钥。有关启用 FIDO 安全密钥的更多信息,请参阅启用通行密钥或安全密钥

AWS 向美国符合条件的 AWS 账户所有者提供免费 MFA 安全密钥。要确定资格并订购密钥,请参阅 Security Hub 控制台

虚拟身份验证器应用程序

虚拟身份验证器应用程序实现基于时间的一次性密码(TOTP)算法,并支持在单个设备上使用多个令牌。AWS GovCloud(美国)区域和其他 AWS 区域的 IAM 用户支持虚拟身份验证器。有关启用虚拟身份验证器的更多信息,请参阅启用虚拟多重身份验证(MFA)设备

您可以从应用商店将特定于您智能手机类型的应用安装在智能手机上。一些应用程序提供商还提供 Web 和桌面应用程序。有关示例,请参见下表。

Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP

硬件 TOTP 令牌

硬件令牌还支持 TOTP 算法,由第三方提供商 Thales 提供。 这些令牌仅供 AWS 账户使用。有关更多信息,请参阅启用硬件 MFA 设备

为了确保与 AWS 的兼容性,您必须通过此页面上的链接购买 MFA 令牌。从其他来源购买的两排可能无法在 IAM 中使用,因为 AWS 需要唯一的 “令牌种子”,即制作令牌时生成的密钥。只有通过此页面上的链接购买的令牌才能安全地与 AWS 共享其令牌种子。MFA 令牌以两种形式提供:OTP 令牌OTP 显示卡

适用于 AWS GovCloud(美国)区域的硬件 TOTP 令牌

硬件 TOTP 令牌与 AWS GovCloud(美国)区域兼容,由第三方提供商 Hypersecu 提供。这些令牌仅供拥有 AWS GovCloud(美国)账户的 IAM 用户使用。

为了确保与 AWS 的兼容性,您必须通过此页面上的链接购买 MFA 令牌。从其他来源购买的两排可能无法在 IAM 中使用,因为 AWS 需要唯一的 “令牌种子”,即制作令牌时生成的密钥。只有通过此页面上的链接购买的令牌才能安全地与 AWS 共享其令牌种子。MFA 令牌以 OTP 令牌格式提供。