# AWS 账户根用户 的多重身份验证
**重要**
AWS 建议您在登录 AWS 时,尽可能使用通行密钥或安全密钥,因为它们更能抵御网络钓鱼等攻击。有关更多信息,请参阅 [通行密钥和安全密钥](#passkeys-security-keys-for-root)。
多重身份验证 (MFA) 是一种用于增强安全性的简单而有效的机制。第一个因素(密码)是您记住的秘密,也称为知识因素。其他因素可以是拥有因素(您拥有的东西,例如安全密钥)或固有因素(您与生俱来的东西,例如生物识别扫描)。为增强安全性,我们强烈建议您配置多重身份验证(MFA)以帮助保护 AWS 资源。
**注意**
所有 AWS 账户 账户类型(独立账户、管理账户和成员账户)都需要为其根用户配置 MFA。如果尚未启用 MFA,则用户必须在首次登录尝试访问 AWS 管理控制台后 35 天内注册 MFA。
您可以为 AWS 账户根用户 和 IAM 用户启用 MFA。当您为根用户启用 MFA 时,它仅影响根用户凭证。有关如何为 IAM 用户启用 MFA 的更多信息,请参阅 [IAM 中的 AWS 多重身份验证](id_credentials_mfa.md)。
**注意**
使用 AWS Organizations 托管的 AWS 账户可以选择[集中管理成员账户的根访问权限](id_root-user.md#id_root-user-access-management),以防止凭证恢复和大规模访问。如果启用此选项,则可以从成员账户中删除根用户凭证,包括密码和 MFA,从而有效地阻止以根用户身份登录、进行密码恢复或设置 MFA。或者,如果您希望维护基于密码的登录方法,请通过注册 MFA 来保护您的账户,以增强账户保护。
为您的根用户启用 MFA 之前,请查看并[更新您的账户设置和联系信息](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html),以确保您可以访问电子邮件和电话号码。如果您的 MFA 设备丢失、被盗或无法工作,您仍可以通过使用相应的电子邮件和电话号码验证您的身份,以作为根用户登录。要了解如何使用替代的身份验证因素登录,请参阅 [在 IAM 中恢复受 MFA 保护的身份](id_credentials_mfa_lost-or-broken.md)。要禁用此功能,请联系 [AWS 支持](https://console.aws.amazon.com/support/home#/)。
AWS 为根用户支持以下 MFA 类型:
+ [通行密钥和安全密钥](#passkeys-security-keys-for-root)
+ [虚拟身份验证器应用程序](#virtual-auth-apps-for-root)
+ [硬件 TOTP 令牌](#hardware-totp-token-for-root)
## 通行密钥和安全密钥
AWS Identity and Access Management 对 MFA 支持通行密钥和安全密钥。基于 FIDO 标准,通行密钥使用公有密钥加密技术来提供比密码更安全的强大防网络钓鱼身份验证。AWS 支持两种类型的通行密钥:设备绑定通行密钥(安全密钥)和同步通行密钥。
+ **安全密钥**:这些是物理设备,例如 YubiKey,用作身份验证的第二个因素。单个安全密钥可以支持多个根用户账户和 IAM 用户。
+ **同步通行密钥**:它们使用来自 Google、Apple、Microsoft 账户等提供商的凭证管理器以及第三方服务(例如 1Password、Dashlane 和 Bitwarden)作为第二个因素。
您可以使用内置生物识别身份验证器(例如,Apple MacBook 上的 Touch ID)来解锁凭证管理器并登录 AWS。通行密钥是通过您选择的提供商使用您的指纹、面部或设备 PIN 创建的。您还可以使用一台设备(如移动设备或硬件安全密钥)上的跨设备身份验证 (CDA) 密钥在另一台设备(如笔记本电脑)上登录。有关更多信息,请参阅[跨设备身份验证](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA)。
您可以跨设备同步通行密钥以方便登录 AWS,从而增强可用性和可恢复性。有关启用通行密钥和安全密钥的更多信息,请参阅 [为根用户启用密钥或安全密钥(控制台)](enable-fido-mfa-for-root.md)。
FIDO 联盟维护一份与 FIDO 规范兼容的所有经 [FIDO 认证产品](https://fidoalliance.org/certification/fido-certified-products/)的列表。
## 虚拟身份验证器应用程序
虚拟身份验证器应用程序在电话或其他设备上运行,并模拟物理设备。虚拟身份验证器应用程序采用[基于时间的一次性密码](https://datatracker.ietf.org/doc/html/rfc6238)(TOTP)算法,并支持单个设备上的多个令牌。在登录期间,用户必须在出现提示时从该设备键入有效代码。分配给用户的每个令牌必须是唯一的。用户无法从另一个用户的令牌键入代码来进行身份验证。
我们建议您在等待硬件购买批准或等待硬件到达时使用虚拟 MFA 设备。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表,请参阅[多重身份验证(MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。有关使用 AWS 设置虚拟 MFA 设备的说明,请参阅 [为根用户启用虚拟 MFA 设备(控制台)](enable-virt-mfa-for-root.md)。
## 硬件 TOTP 令牌
硬件设备以[基于时间的一次性密码(TOTP)算法](https://datatracker.ietf.org/doc/html/rfc6238)为基础生成六位数字代码。在登录时,用户必须在另一个网页上键入来自该设备的有效代码。分配给用户的每台 MFA 设备必须是唯一的。用户无法从另一个用户的设备键入代码来进行身份验证。有关受支持硬件 MFA 设备的信息,请参阅[多重身份验证(MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。有关使用 AWS 设置硬件 TOTP 令牌的说明,请参阅 [为根用户启用硬件 TOTP 令牌(控制台)](enable-hw-mfa-for-root.md)。
如果想使用物理 MFA 设备,我们建议使用 FIDO 安全密钥来代替硬件 TOTP 设备。FIDO 安全密钥具有无需电池、可抵御网络钓鱼的优点,并且支持在单台设备上使用多个根用户和 IAM 用户,从而增强安全性。
**Topics**
+ [通行密钥和安全密钥](#passkeys-security-keys-for-root)
+ [虚拟身份验证器应用程序](#virtual-auth-apps-for-root)
+ [硬件 TOTP 令牌](#hardware-totp-token-for-root)
+ [为根用户启用密钥或安全密钥(控制台)](enable-fido-mfa-for-root.md)
+ [为根用户启用虚拟 MFA 设备(控制台)](enable-virt-mfa-for-root.md)
+ [为根用户启用硬件 TOTP 令牌(控制台)](enable-hw-mfa-for-root.md)
# 为根用户启用密钥或安全密钥(控制台)
您只能从 AWS 管理控制台 为根用户配置和启用密钥,而不能从 AWS CLI 或 AWS API 配置和启用。
**为您的根用户启用密钥或安全密钥(控制台)**
1. 打开 [AWS 管理控制台](https://console.aws.amazon.com/),使用根用户凭证登录。
有关说明,请参阅《AWS 登录 User Guide》**中的 [Sign in to the AWS 管理控制台 as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)。
1. 在导航栏的右侧,选择您的账户名称,然后选择 **Security Credentials**(安全凭证)。
![\[导航菜单中的安全凭证\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 在您的根用户**我的安全凭证**页面的**多重身份验证(MFA)**下,选择**分配 MFA 设备**。
1. 在 **MFA 设备名称**页面上,输入**设备名称**,选择**密钥或安全密钥**,然后选择**下一步**。
1. 在**设置设备**上,设置您的密钥。使用面部或指纹等生物识别数据、设备 PIN 码或将 FIDO 安全密钥插入计算机的 USB 端口并点按即可创建密钥。
1. 按照浏览器上的说明选择密钥提供商或想要存储密钥的位置,以便在设备上使用。
1. 选择**继续**。
现在,您已经注册了用于 AWS 的密钥。下次使用根用户凭证登录时,您必须使用您的密钥进行身份验证才能完成登录过程。
有关对 FIDO 安全密钥问题进行故障排除的帮助信息,请参阅 [排查通行密钥和 FIDO 安全密钥问题](troubleshoot_mfa-fido.md)。
# 为根用户启用虚拟 MFA 设备(控制台)
您可以使用 AWS 管理控制台 为根用户配置和启用虚拟 MFA 设备。要为 AWS 账户 启用 MFA 设备,您必须使用根用户凭证登录 AWS。
**配置和启用虚拟 MFA 设备以用于您的根用户(控制台)**
1. 打开 [AWS 管理控制台](https://console.aws.amazon.com/),使用根用户凭证登录。
有关说明,请参阅《AWS 登录 User Guide》**中的 [Sign in to the AWS 管理控制台 as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)。
1. 在导航栏右侧,选择您的账户名称,然后选择 **Security Credentials**(安全凭证)。
![\[导航菜单中的安全凭证\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 在 **Multi-Factor Authentication (MFA)** [多重身份验证(MFA)] 部分中,选择 **Assign MFA device**(分配 MFA 设备)。
1. 在向导中,键入**设备名称**,选择**身份验证器应用程序**,然后选择**下一步**。
IAM 将生成并显示虚拟 MFA 设备的配置信息,包括 QR 代码图形。此图形是秘密配置密钥的表示形式,适用于不支持 QR 代码的设备上的手动输入。
1. 在设备上打开虚拟 MFA 应用程序。
如果虚拟 MFA 应用程序支持多个虚拟 MFA 设备或账户,请选择相应的选项以创建新的虚拟 MFA 设备或账户。
1. 要配置应用程序,最简单的方法是使用应用程序扫描 QR 代码。如果您无法扫描代码,则可手动键入配置信息。IAM 生成的二维码和私有配置密钥与您的 AWS 账户 关联,不能用于其他账户。但是,如果您失去对原始 MFA 设备的访问权,可以重新使用它们为您的账户配置新的 MFA 设备。
+ 要使用 QR 代码配置虚拟 MFA 设备,请在向导中,选择 **Show QR code (显示 QR 代码)**。然后,按照应用程序说明扫描代码。例如,您可能需要选择摄像头图标或选择**扫描账户条形码**等命令,然后使用设备的摄像头扫描 QR 代码。
+ 在 **Set up device**(设置设备)向导中,选择 **Show secret key**(显示私有密钥),然后在您的 MFA 应用程序中键入私有密钥。
**重要**
对二维码或私有配置密钥进行安全备份,或确保为您的账户启用多台 MFA 设备。您最多可以向 AWS 账户根用户 和 IAM 用户注册 **8** 台[当前支持的 MFA 类型](https://aws.amazon.com/iam/features/mfa/)任意组合的 MFA 设备。虚拟 MFA 设备可能变为不可用(例如,如果丢失了承载虚拟 MFA 设备的智能手机)。如果发生这种情况,并且您无法在没有其他 MFA 设备附加到用户的情况下登录账户,甚至无法通过 [恢复根用户用户 MFA 设备](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken) 登录,则您将无法登录您的账户,您将不得不[联系客户服务](https://support.aws.amazon.com/#/contacts/aws-mfa-support)以删除对该账户的 MFA 保护。
设备开始生成六位数编码。
1. 在向导的 **MFA code 1**(MFA 代码 1)框中,键入虚拟 MFA 设备上当前显示的一次性密码。请等候 30 秒,以便设备生成新的一次性密码。然后在 **MFA code 2 (MFA 代码 2)** 框中键入第二个一次性密码。选择 **Add MFA**(添加 MFA)。
**重要**
生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码(TOTP)很快会过期。这种情况下,您可以[重新同步设备](id_credentials_mfa_sync.md)。
设备已准备就绪,可在 AWS 上使用。有关在 AWS 管理控制台上使用 MFA 的信息,请参阅 [已启用 MFA 的登录](console_sign-in-mfa.md)。
# 为根用户启用硬件 TOTP 令牌(控制台)
您只能从 AWS 管理控制台 为根用户配置和启用实体 MFA 设备,而不能从 AWS CLI 或 AWS API 配置和启用。
**注意**
您可能会看到不同的文本,例如**使用 MFA 登录**和**排除您的身份验证设备故障**。不过,它们提供了相同的功能。在任一情况下,如果您无法使用替代身份验证因素验证您的账户电子邮件地址和电话号码,请与 [AWS 支持](https://aws.amazon.com/forms/aws-mfa-support) 联系以删除您的 MFA 设置。
**为根用户启用硬件 TOTP 令牌(控制台)**
1. 打开 [AWS 管理控制台](https://console.aws.amazon.com/),使用根用户凭证登录。
有关说明,请参阅《AWS 登录 User Guide》**中的 [Sign in to the AWS 管理控制台 as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)。
1. 在导航栏的右侧,选择您的账户名称,然后选择 **Security Credentials**(安全凭证)。
![\[导航菜单中的安全凭证\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 展开 **Multi-factor authentication (MFA) (多重验证)** 部分。
1. 选择 **Assign MFA device**(分配 MFA 设备)。
1. 在向导中,键入 **Device name**(设备名称),选择 **Hardware TOTP token**(硬件 TOTP 令牌),然后选择 **Next**(下一步)。
1. 在 **Serial Number (序列号)** 框中,键入在 MFA 设备背面找到的序列号。
1. 在 **MFA code 1 (MFA 代码 1)** 框中,输入 MFA 设备显示的六位数编码。您需要按设备正面的按钮来显示编码。
![\[IAM 控制面板,MFA 设备\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/MFADevice.png)
1. 在设备刷新期间等候 30 秒,然后在 **MFA code 2 (MFA 代码 2)** 框中键入第二个六位数编码。您需要再次按设备正面的按钮来显示第二个编码。
1. 选择 **Add MFA**(添加 MFA)。MFA 设备现已与 AWS 账户 相关联。
**重要**
在生成身份验证代码后立即提交您的请求。如果生成代码后等待很长时间才提交请求,MFA 设备会成功与用户关联,但 MFA 设备无法同步。这是因为基于时间的一次性密码(TOTP)很快会过期。这种情况下,您可以[重新同步设备](id_credentials_mfa_sync.md)。
下次使用根用户凭证登录时,您必须键入 MFA 设备生成的代码。