啟用 MFA 的登入 - AWS Identity and Access Management
已啟用多個 MFA 裝置FIDO 安全性金鑰虛擬 MFA 裝置硬體 TOTP 權杖

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 MFA 的登入

設定使用者的多重要素驗證 (MFA) 裝置必須使用自己的 MFA 裝置登入 AWS 管理主控台。在使用者輸入登入認證後,AWS 將檢查使用者的帳戶以查看該使用者是否需要 MFA。

重要

如果使用存取金鑰和私密金鑰憑證,透過 AWS STS GetFederationToken API 呼叫直接存取 AWS 管理主控台,則不需要 MFA。如需更多詳細資訊,請參閱 使用存取金鑰和秘密金鑰憑證存取主控台

以下各主題提供使用者在需要 MFA 時完成登入方式的資訊。

已啟用多個 MFA 裝置

如果使用者以 AWS 帳戶 根使用者或 IAM 使用者身分使用為該帳戶啟用的多台 MFA 裝置登入 AWS 管理主控台,他們僅使用一台 MFA 裝置即可登入。使用者使用其密碼進行身分驗證以後,他們要選取希望使用哪種 MFA 裝置類型來完成身分驗證。然後,使用者會收到使用其所選裝置類型進行身分驗證的提示。

FIDO 安全性金鑰

若使用者需要 MFA,則會出現第二個登入頁面。使用者需要點選 FIDO 安全性金鑰。

注意

Google Chrome 瀏覽器使用者不應在要求 Verify your identity with amazon.com (使用 amazon.com 驗證您身分) 的彈出畫面中選擇任何可用選項。您只需要點選安全性金鑰。

與其他 MFA 裝置不同,FIDO 安全性金鑰不會失去同步。管理員可以在其遺失或損壞時停用 FIDO 安全性金鑰。如需更多詳細資訊,請參閱 停用 MFA 裝置 (主控台)

如需支援 WebAuthn 的瀏覽器以及 AWS 支援的 FIDO 相容裝置的資訊,請參閱 使用通行密鑰和安全金鑰的支援組態

虛擬 MFA 裝置

若使用者需要 MFA,則會出現第二個登入頁面。在 MFA code (MFA 代碼) 方塊中,使用者必須輸入 MFA 應用程式提供的數字代碼。

如果 MFA 代碼正確,則使用者可以存取 AWS 管理主控台。如果程式碼不正確,使用者可以重試其他代碼。

虛擬 MFA 裝置可能會失去同步。若使用者在嘗試數次之後仍無法登入 AWS 管理主控台,使用者會收到提示,要求同步虛擬 MFA 裝置。使用者可以根據螢幕上的提示同步虛擬 MFA 裝置。如需如何在 AWS 帳戶 中代使用者同步裝置的資訊,請參閱 重新同步虛擬和硬體 MFA 裝置

硬體 TOTP 權杖

若使用者需要 MFA,則會出現第二個登入頁面。在 MFA code (MFA 代碼) 方塊中,使用者必須輸入硬體 TOTP 權杖提供的數字代碼。

如果 MFA 代碼正確,則使用者可以存取 AWS 管理主控台。如果程式碼不正確,使用者可以重試其他代碼。

硬體 TOTP 權杖可能不同步。若使用者在嘗試數次之後仍無法登入 AWS 管理主控台,使用者會收到提示,要求同步 MFA 權杖裝置。使用者可以根據螢幕上的提示同步 MFA 權杖裝置。如需如何在 AWS 帳戶 中代使用者同步裝置的資訊,請參閱 重新同步虛擬和硬體 MFA 裝置