適用於 IAM 的多重要素驗證 (MFA)

什麼是 MFA?

AWS 多重要素驗證 (MFA) 是一種 AWS Identity and Access Management (IAM) 最佳實務;除使用者名稱和密碼登入憑證以外,還要求使用第二種身分驗證要素。您可以在 AWS 帳戶層級啟用 MFA,也可以為您在帳戶中建立的根使用者和 IAM 使用者啟用 MFA。 
 
AWS 正在為其免費的 MFA 安全金鑰計畫放寬資格條件。驗證您的資格並訂購您的免費 MFA 金鑰
 
在啟用 MFA 以後,當使用者登入到 AWS 管理主控台時,他們將看到要求其提供使用者名稱和密碼 ( 這是他們知道的) 以及來自其 MFA 裝置的身分驗證碼 ( 這是他們擁有的) 的提示;或者如果他們使用生物辨識驗證器,則會被要求 證明他們是誰。綜合而言,這些要素可提高您的 AWS 帳戶和資源的安全性。
 
我們建議您要求您的人類使用者在存取 AWS 時使用臨時憑證。您的使用者可以使用身分提供者來將身分驗證聯合到 AWS,他們將可以在 AWS 中使用其企業憑證和 MFA 組態來驗證身分。若要管理對 AWS 和業務應用程式的存取,建議您使用 AWS IAM Identity Center。如需詳細資訊,請參閱 IAM Identity Center 使用者指南
 
檢閱以下可用於您的 IAM MFA 實作的 MFA 選項。您可以透過提供的連結下載虛擬驗證器應用程式,或者您也可以向相應製造商索取硬體 MFA 裝置。在取得支援的虛擬或硬體 MFA 裝置後,AWS 便不會針對使用 MFA 收取額外的費用。

可用於 IAM 的 MFA 方法

您可以在 IAM 主控台中管理您的 MFA 裝置。以下是 IAM 支援的 MFA 選項。

密鑰和安全金鑰

密鑰和安全金鑰基於 FIDO 標準,可在使用者的裝置上提供更輕鬆、更安全的登入。FIDO 身分驗證標準以公有金鑰加密法為基礎,可實現強健而且比密碼更安全的防網路釣魚身分驗證。密鑰透過您選擇的密鑰提供者 (例如 iCloud Keychain、Google Password Manager、1Password 或 Dashlane),使用您的指紋、面部或裝置 PIN 碼建立,並且會在您的裝置上同步,以便使用 AWS 登入。客戶還可使用 Yubico 等第三方供應商提供的裝置綁定密鑰 (也稱為安全金鑰)。FIDO Alliance 維護著一份經 FIDO 認證的全部產品清單,這些產品都與 FIDO 規格相容。FIDO 安全金鑰可支援使用單一安全金鑰的多個根帳戶和 IAM 使用者。所有 AWS 區域中的根使用者和 IAM 使用者都支援密鑰和安全金鑰,Sinnet 營運的 AWS 中國 (北京) 區域和 NWCD 營運的 AWS (寧夏) 區域除外。如需有關啟用 FIDO 安全金鑰的更多資訊,請參閱啟用通行密鑰或安全金鑰

AWS 在美國境內為符合資格的 AWS 帳戶擁有者提供免費的 MFA 安全金鑰。若要確定資格條件並訂購金鑰,請參閱 Security Hub 主控台

虛擬驗證器應用程式

虛擬驗證器應用程式會實作以時間為基礎的一次性密碼 (TOTP) 演算法,並在一台裝置上支援多個權杖。AWS GovCloud (美國) 區域和其他 AWS 區域的 IAM 使用者都可以使用虛擬驗證器。如需有關啟用虛擬驗證器的更多資訊,請參閱啟用虛擬多重要素驗證 (MFA) 裝置

您可以在應用程式商店中下載適用於您的智慧手機類型的應用程式,並安裝到您的智慧手機上。部分應用程式供應商還提供 Web 和桌面應用程式。請參閱以下表格中的範例。

Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP

硬體 TOTP 權杖

硬體權杖還支援 TOTP 演算法,並且由第三方供應商 Thales 提供。 這些權杖專門用於 AWS 帳戶。如需詳細資訊,請參閱啟用硬體 MFA 裝置

為確保與 AWS 相容,您必須透過此頁面上的連結,購買您的 MFA 字符。從其他來源購買的字符可能無法與 IAM 一起運作,因為 AWS 在製作字符時要求獨特的「字符種子」,也就是密鑰。唯有透過此頁面的連結購買的字符,才能與 AWS 安全共享其字符種子。MFA 字符以兩種形式提供:OTP 字符OTP 顯示卡

適用於 AWS GovCloud (美國) 區域的硬體 TOTP 字符

硬體 TOTP 權杖與 AWS GovCloud (美國) 區域相容,並且由第三方供應商 Hypersecu 提供。這些字符專門供 IAM 使用者用於 AWS GovCloud (美國) 帳戶。

為確保與 AWS 相容,您必須透過此頁面上的連結,購買您的 MFA 字符。從其他來源購買的字符可能無法與 IAM 一起運作,因為 AWS 在製作字符時要求獨特的「字符種子」,也就是密鑰。唯有透過此頁面的連結購買的字符,才能與 AWS 安全共享其字符種子。MFA 字符以 OTP 權杖形式提供。