Tetapkan token TOTP perangkat keras di AWS Management Console - AWS Identity and Access Management
Izin diperlukanAktifkan token TOTP perangkat keras untuk pengguna IAM Anda sendiri (konsol)Aktifkan token TOTP perangkat keras untuk pengguna IAM lain (konsol)Ganti perangkat MFA fisik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tetapkan token TOTP perangkat keras di AWS Management Console

Token TOTP perangkat keras menghasilkan kode numerik enam digit berdasarkan algoritma kata sandi satu kali berbasis waktu (TOTP). Pengguna harus memasukkan kode yang valid dari perangkat saat diminta selama proses masuk. Setiap perangkat MFA yang ditetapkan ke pengguna harus unik; pengguna tidak dapat mengetikkan kode dari perangkat pengguna lain untuk diautentikasi. Perangkat MFA tidak dapat dibagikan di seluruh akun atau pengguna.

Token TOTP perangkat keras dan kunci keamanan FIDO adalah perangkat fisik yang Anda beli. Perangkat MFA perangkat keras menghasilkan kode TOTP untuk otentikasi saat Anda masuk. AWS Mereka mengandalkan baterai, yang mungkin perlu penggantian dan sinkronisasi ulang AWS seiring waktu. Kunci keamanan FIDO, yang menggunakan kriptografi kunci publik, tidak memerlukan baterai dan menawarkan proses otentikasi yang mulus. Kami merekomendasikan penggunaan kunci keamanan FIDO untuk ketahanan phishing mereka, yang memberikan alternatif yang lebih aman untuk perangkat TOTP. Selain itu, kunci keamanan FIDO dapat mendukung beberapa pengguna IAM atau root pada perangkat yang sama, meningkatkan utilitas mereka untuk keamanan akun. Untuk spesifikasi dan informasi pembelian untuk kedua jenis perangkat, lihat Autentikasi Multi-Faktor.

Anda dapat mengaktifkan token TOTP perangkat keras untuk pengguna IAM dari, baris perintah AWS Management Console, atau API IAM. Untuk mengaktifkan perangkat MFA untuk Anda Pengguna root akun AWS, lihat. Aktifkan TOTP token perangkat keras untuk pengguna root (konsol)

Anda dapat mendaftarkan hingga delapan perangkat MFA dari kombinasi jenis MFA yang saat ini didukung dengan pengguna Anda Pengguna root akun AWS dan IAM. Dengan beberapa perangkat MFA, Anda hanya perlu satu perangkat MFA untuk masuk ke AWS Management Console atau membuat sesi melalui sebagai pengguna tersebut AWS CLI .

penting

Kami menyarankan Anda mengaktifkan beberapa perangkat MFA untuk pengguna Anda untuk melanjutkan akses ke akun Anda jika perangkat MFA hilang atau tidak dapat diakses.

catatan

Jika Anda ingin mengaktifkan perangkat MFA dari baris perintah, gunakan. aws iam enable-mfa-device Untuk mengaktifkan perangkat MFA dengan API IAM, gunakan operasi. EnableMFADevice

Izin diperlukan

Untuk mengelola token TOTP perangkat keras untuk pengguna IAM Anda sendiri sambil melindungi tindakan sensitif terkait MFA, Anda harus memiliki izin dari kebijakan berikut:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Aktifkan token TOTP perangkat keras untuk pengguna IAM Anda sendiri (konsol)

Anda dapat mengaktifkan token TOTP perangkat keras Anda sendiri dari. AWS Management Console

catatan

Sebelum Anda dapat mengaktifkan token TOTP perangkat keras, Anda harus memiliki akses fisik ke perangkat.

Untuk mengaktifkan token TOTP perangkat keras untuk pengguna IAM Anda sendiri (konsol)

  1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol IAM.

    catatan

    Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna dan informasi akun IAM Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih Masuk ke akun lain dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.

    Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.

  2. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih Kredensi keamanan.

    AWS Management Console Tautan kredensi keamanan

  3. Pada tab Kredensial AWS IAM, di bagian Otentikasi Multi-faktor (MFA), pilih Tetapkan perangkat MFA.

  4. Di wizard, ketikkan nama Perangkat, pilih token TOTP Perangkat Keras, lalu pilih Berikutnya.

  5. Ketik nomor seri perangkat. Nomor seri biasanya ada di bagian belakang perangkat.

  6. Di kotak Kode MFA 1, ketik angka enam-digit yang ditampilkan oleh perangkat MFA. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor.

    Dasbor IAM, Perangkat MFA

  7. Tunggu 30 detik saat perangkat menyegarkan kode, lalu ketik angka enam digit berikutnya ke kotak Kode MFA 2. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor kedua.

  8. Pilih Tambahkan MFA.

    penting

    Segera kirim permintaan Anda setelah membuat kode autentikasi. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirim permintaan, perangkat MFA berhasil menghubungkan pengguna namun perangkat MFA tidak akan sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu. Jika ini terjadi, Anda dapat menyinkronisasi ulang perangkat.

Perangkat siap digunakan dengan AWS. Untuk informasi lebih lanjut tentang penggunaan MFA dengan AWS Management Console, lihat MFA mengaktifkan login.

Aktifkan token TOTP perangkat keras untuk pengguna IAM lain (konsol)

Anda dapat mengaktifkan token TOTP perangkat keras untuk pengguna IAM lain dari. AWS Management Console

Untuk mengaktifkan token TOTP perangkat keras untuk pengguna IAM lain (konsol)

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Users (Pengguna).

  3. Pilih nama pengguna yang ingin Anda aktifkan MFA.

  4. Pilih tab Kredensial Keamanan. Di bawah Autentikasi multi-faktor (MFA), pilih Tetapkan perangkat MFA.

  5. Di wizard, ketikkan nama Perangkat, pilih token TOTP Perangkat Keras, lalu pilih Berikutnya.

  6. Ketik nomor seri perangkat. Nomor seri biasanya ada di bagian belakang perangkat.

  7. Di kotak Kode MFA 1, ketik angka enam-digit yang ditampilkan oleh perangkat MFA. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor.

    Dasbor IAM, Perangkat MFA

  8. Tunggu 30 detik saat perangkat menyegarkan kode, lalu ketik angka enam digit berikutnya ke kotak Kode MFA 2. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor kedua.

  9. Pilih Tambahkan MFA.

    penting

    Segera kirim permintaan Anda setelah membuat kode autentikasi. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirim permintaan, perangkat MFA berhasil menghubungkan pengguna namun perangkat MFA tidak akan sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu. Jika ini terjadi, Anda dapat menyinkronisasi ulang perangkat.

Perangkat siap digunakan dengan AWS. Untuk informasi lebih lanjut tentang penggunaan MFA dengan AWS Management Console, lihat MFA mengaktifkan login.

Ganti perangkat MFA fisik

Anda dapat memiliki hingga delapan perangkat MFA dari kombinasi jenis MFA yang saat ini didukung yang ditetapkan untuk pengguna pada satu waktu dengan pengguna Anda Pengguna root akun AWS dan IAM. Jika pengguna kehilangan perangkat atau perlu mengganti karena alasan apa pun, Anda harus menonaktifkan perangkat lama terlebih dahulu. Kemudian Anda dapat menambahkan perangkat baru untuk pengguna.