IAM 多重身份验证(MFA)
什么是 MFA?
IAM 可用的 MFA 方法
您可以在 IAM 控制台中管理 MFA 设备。以下选项是 IAM 支持的 MFA 方法。
密钥和安全密钥
密码和安全密钥基于 FIDO 标准,以便更轻松、更安全地在用户的多台设备上登录。FIDO 身份验证标准基于公钥加密,可实现比密码更安全的强大、防网络钓鱼的身份验证。密钥由您选择的密钥提供商(例如 iCloud Keychain、Google Password Manager、1Password 或 Dashlane)使用您的指纹、面部或设备 PIN 创建,并且会在您的设备之间同步以使用 AWS 登录。客户还可以使用由第三方提供商(例如 Yubico)提供的设备绑定密钥,也称为安全密钥。FIDO 联盟维护所有与 FIDO 规范兼容的 FIDO 认证产品清单。FIDO 安全密钥可以使用单个安全密钥支持多个根账户和 IAM 用户。除由光环新网运营的 AWS 中国(北京)区域和由西云数据运营的 AWS(宁夏)区域外,所有 AWS 区域的根用户和 IAM 用户均支持密钥和安全密钥。有关启用 FIDO 安全密钥的更多信息,请参阅启用通行密钥或安全密钥。
AWS 向美国符合条件的 AWS 账户所有者提供免费 MFA 安全密钥。要确定资格并订购密钥,请参阅 Security Hub 控制台。
虚拟身份验证器应用程序
虚拟身份验证器应用程序实现基于时间的一次性密码(TOTP)算法,并支持在单个设备上使用多个令牌。AWS GovCloud(美国)区域和其他 AWS 区域的 IAM 用户支持虚拟身份验证器。有关启用虚拟身份验证器的更多信息,请参阅启用虚拟多重身份验证(MFA)设备。
您可以从应用商店将特定于您智能手机类型的应用安装在智能手机上。一些应用程序提供商还提供 Web 和桌面应用程序。有关示例,请参见下表。
硬件 TOTP 令牌
硬件令牌还支持 TOTP 算法,由第三方提供商 Thales 提供。 这些令牌仅供 AWS 账户使用。有关更多信息,请参阅启用硬件 MFA 设备。
为了确保与 AWS 的兼容性,您必须通过此页面上的链接购买 MFA 令牌。从其他来源购买的两排可能无法在 IAM 中使用,因为 AWS 需要唯一的 “令牌种子”,即制作令牌时生成的密钥。只有通过此页面上的链接购买的令牌才能安全地与 AWS 共享其令牌种子。MFA 令牌以两种形式提供:OTP 令牌和 OTP 显示卡。
适用于 AWS GovCloud(美国)区域的硬件 TOTP 令牌
硬件 TOTP 令牌与 AWS GovCloud(美国)区域兼容,由第三方提供商 Hypersecu 提供。这些令牌仅供拥有 AWS GovCloud(美国)账户的 IAM 用户使用。
为了确保与 AWS 的兼容性,您必须通过此页面上的链接购买 MFA 令牌。从其他来源购买的两排可能无法在 IAM 中使用,因为 AWS 需要唯一的 “令牌种子”,即制作令牌时生成的密钥。只有通过此页面上的链接购买的令牌才能安全地与 AWS 共享其令牌种子。MFA 令牌以 OTP 令牌格式提供。