本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 IAM Identity Center 中配置 MFA
当您的身份源配置了 IAM 身份中心的身份存储 AWS Managed Microsoft AD或 AD Connector 时,您可以在 IAM 身份中心配置多重身份验证 (MFA) 功能。目前,外部身份提供者不支持 IAM Identity Center 中的 MFA。
以下是一般的 MFA 建议,具体取决于您的 IAM Identity Center 设置和组织偏好。
-
鼓励用户为所有启用的 MFA 类型注册多个备份身份验证器。这种做法可以防止在 MFA 设备损坏或放错位置时失去访问权限。
-
如果您的用户必须登录 AWS 访问门户才能访问他们的电子邮件,请不要选择 “要求他们提供通过电子邮件发送的一次性密码” 选项。例如,您的用户可以在 AWS 访问门户Microsoft 365中使用来阅读他们的电子邮件。在这种情况下,用户将无法检索验证码,也无法登录 AWS 访问门户。有关更多信息,请参阅 配置 MFA 设备实施。
-
如果您已经在使用配置的 RADIUS MFA Directory Service,则无需在 IAM 身份中心内启用 MFA。对于 IAM Identity Center 的 Microsoft Active Directory 用户,IAM Identity Center 中的 MFA 可以作为 RADIUS MFA 的替代方案。有关更多信息,请参阅 RADIUS MFA。
-
以下 YouTube 视频概述了 MFA 和 IAM 身份中心:
