本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的多重要素驗證 AWS 帳戶根使用者
**重要**
AWS 建議您盡可能使用 MFA 的通行金鑰或安全金鑰 AWS,因為它們更能抵禦網路釣魚等攻擊。如需詳細資訊,請參閱[通行密鑰和安全金鑰](#passkeys-security-keys-for-root)。
多重要素驗證 (MFA) 是一種簡單且有效的機制,可增強您的安全性。第一個因素:您的密碼,是您記住的秘密,也稱為知識因素。其他因素可以是擁有因素 (您擁有的事物,例如安全金鑰) 或繼承因素 (您自身的事物,例如生物特徵掃描)。為了提高安全性,強烈建議您設定多重要素驗證 (MFA),以協助保護您的 AWS 資源。
**注意**
所有 AWS 帳戶 類型 (獨立、管理和成員帳戶) 都需要為其根使用者設定 MFA。 AWS 管理主控台 如果尚未啟用 MFA,使用者必須在第一次登入嘗試存取 的 35 天內註冊 MFA。
您可以為 AWS 帳戶根使用者 和 IAM 使用者啟用 MFA。當您為根使用者啟用 MFA 時,它僅影響根使用者憑證。如需如何針對 IAM 使用者啟用 MFA 的詳細資訊,請參閱 [AWS IAM 中的多重要素驗證](id_credentials_mfa.md)。
**注意**
AWS 帳戶 使用 受管 AWS Organizations 可以選擇[集中管理成員帳戶的根存取權](id_root-user.md#id_root-user-access-management),以防止憑證復原和大規模存取。如果啟用了此選項,您可以從成員帳戶中刪除根使用者憑證,包括密碼和 MFA,從而有效地防止以根使用者身分登入、密碼復原或設定 MFA。或者,如果您偏好使用基於密碼的登入方式,請註冊 MFA 以增強帳戶保護來確保帳戶安全。
啟用根使用者的 MFA 之前,請檢閱並[更新您的帳戶設定和聯絡資訊](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html),以確保您有權存取電子郵件和電話號碼。如果您的 MFA 裝置遺失、遭竊或無法運作,您仍然可以使用該電子郵件和電話號碼驗證身分,以根使用者身分登入。如需了解如何使用其他身分驗證方法登入的詳細資訊,請參閱[在 IAM 中復原受 MFA 保護的身分](id_credentials_mfa_lost-or-broken.md)。若要停用這項功能,請聯絡 [AWS 支援](https://console.aws.amazon.com/support/home#/)。
AWS 支援根使用者的下列 MFA 類型:
+ [通行密鑰和安全金鑰](#passkeys-security-keys-for-root)
+ [虛擬驗證器應用程式](#virtual-auth-apps-for-root)
+ [硬體 TOTP 權杖](#hardware-totp-token-for-root)
## 通行密鑰和安全金鑰
AWS Identity and Access Management 支援 MFA 的通行金鑰和安全金鑰。根據 FIDO 標準,通行金鑰使用公有金鑰密碼編譯來提供比密碼更安全的強大、網路釣魚防護身分驗證。 AWS 支援兩種類型的通行金鑰:裝置繫結的通行金鑰 (安全金鑰) 和同步的通行金鑰。
+ **安全金鑰**:這些是用作身分驗證的第二個因素的實體裝置,例如 YubiKey。單一安全金鑰可以支援多個根使用者帳戶和 IAM 使用者。
+ **同步通行密鑰**:這些使用來自提供者 (例如 Google、Apple、Microsoft 帳戶等) 和第三方服務 (例如 1Password、Dashlane 和 Bitwarden 等) 的憑證管理工具作為第二個因素。
您可以使用內建的生物識別驗證器,例如 Apple MacBooks 上的 Touch ID,解鎖您的憑證管理工具並登入 AWS。通行密鑰是透過您選擇的提供者,使用指紋、面部或裝置 PIN 碼建立的。您也可以使用一台裝置 (例如行動裝置或硬體安全金鑰) 中的跨帳戶身分驗證 (CDA) 通行密鑰,在筆記型電腦等其他裝置上登入。如需詳細資訊,請參閱 [cross-device authentication](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA)。
您可以跨裝置同步通行金鑰,以便使用 登入 AWS,增強可用性和可復原性。如需啟用通行密鑰和安全金鑰的詳細資訊,請參閱[為根使用者啟用通行密鑰或安全金鑰 (主控台)](enable-fido-mfa-for-root.md)。
FIDO Alliance 維護與 FIDO 規範相容的所有[經 FIDO 認證的產品](https://fidoalliance.org/certification/fido-certified-products/)的清單。
## 虛擬驗證器應用程式
在手機或其他裝置上執行並模擬實體裝置的虛擬驗證器應用程式。虛擬驗證器應用程式實作[以時間為基礎的一次性密碼](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP) 算法,並且支援在單台裝置上使用多個權杖。使用者必須在登入期間出現提示時輸入裝置中的有效代碼。每個指派給使用者的權杖都必須是唯一的。使用者無法輸入另一個使用者的權杖來進行身分驗證。
我們強烈建議您在等待硬體的購買核准或等待硬體就定位時,使用虛擬 MFA 裝置。如需可以用來做為虛擬 MFA 裝置的支援應用程式清單,請參閱[多重要素驗證 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。如需使用 設定虛擬 MFA 裝置的指示 AWS,請參閱 [針對根使用者啟用虛擬 MFA 裝置 (主控台)](enable-virt-mfa-for-root.md)。
## 硬體 TOTP 權杖
一種在[以時間為基礎的一次性密碼 (TOTP) 演算法](https://datatracker.ietf.org/doc/html/rfc6238)的基礎上產生六位數字程式碼的硬體裝置。使用者必須在登入期間在第二個網頁上輸入裝置中的有效程式碼。每個指派給使用者的 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者裝置的代碼來進行身分驗證。如需支援的硬體 MFA 裝置資訊,請參閱[多重要素驗證 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。如需使用 AWS設定硬體 TOTP 權杖的說明,請參閱 [針對根使用者啟用硬體 TOTP 權杖 (主控台)](enable-hw-mfa-for-root.md)。
如果想要使用實體 MFA 裝置,我們建議您使用 FIDO 安全金鑰作為硬體 TOTP 裝置的替代方案。FIDO 安全金鑰具有無需電池和防釣魚的優勢,而且可在單一裝置上支援多個根使用者和 IAM 使用者,以增強安全性。
**Topics**
+ [通行密鑰和安全金鑰](#passkeys-security-keys-for-root)
+ [虛擬驗證器應用程式](#virtual-auth-apps-for-root)
+ [硬體 TOTP 權杖](#hardware-totp-token-for-root)
+ [為根使用者啟用通行密鑰或安全金鑰 (主控台)](enable-fido-mfa-for-root.md)
+ [針對根使用者啟用虛擬 MFA 裝置 (主控台)](enable-virt-mfa-for-root.md)
+ [針對根使用者啟用硬體 TOTP 權杖 (主控台)](enable-hw-mfa-for-root.md)
# 為根使用者啟用通行密鑰或安全金鑰 (主控台)
您只能從 為根使用者設定和啟用通行金鑰 AWS 管理主控台 ,而不是從 AWS CLI 或 AWS API。
**若要為您的根使用者啟用通行密鑰或安全金鑰 (主控台)**
1. 開啟 [AWS 管理主控台](https://console.aws.amazon.com/),並使用您的根使用者憑證登入。
如需說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者的 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。
1. 在導覽列右側選擇您的帳戶名稱,然後選擇 **安全憑證** 。
![\[在導覽選單中的安全憑證\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 在根使用者**我的安全憑證**頁面的**多重要素驗證 (MFA)** 下,選擇**指派 MFA 裝置**。
1. 在 **MFA 裝置名稱**頁面上,輸入**裝置名稱**,選擇**通行密鑰或安全金鑰**,然後選擇**下一步**。
1. 在**設定裝置**上,設定您的通行密鑰。使用臉部或指紋等生物識別資料、裝置 PIN,或將 FIDO 安全金鑰插入電腦的 USB 連接埠並點選,由此建立通行密鑰。
1. 遵循瀏覽器上的指示,選擇通行密鑰提供者或您要存放通行密鑰的位置,以便跨裝置使用。
1. 選擇**繼續**。
您現在已註冊要與 搭配使用的通行密鑰 AWS。下一次當您使用根使用者憑證登入時,您必須使用通行密鑰進行驗證,才能完成登入程序。
如需針對 FIDO 安全金鑰問題進行疑難排解的協助,請參閱[對通行密鑰和 FIDO 安全金鑰進行疑難排解](troubleshoot_mfa-fido.md)。
# 針對根使用者啟用虛擬 MFA 裝置 (主控台)
您可以使用 AWS 管理主控台 為您的根使用者設定和啟用虛擬 MFA 裝置。若要為 啟用 MFA 裝置 AWS 帳戶,您必須 AWS 使用根使用者憑證登入 。
**設定和啟用虛擬 MFA 裝置以與根使用者一起使用 (主控台)**
1. 開啟 [AWS 管理主控台](https://console.aws.amazon.com/),並使用您的根使用者憑證登入。
如需說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者的 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。
1. 在導覽列右側,選擇您的帳戶名稱,然後選擇 **安全憑證** 。
![\[在導覽選單中的安全憑證\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 在 **Multi-Factor Authentication (MFA)** (多重要素驗證 (MFA)) 區段中,選擇 **Assign MFA device** (指派 MFA 裝置)。
1. 在精靈中輸入 **Device name**,然後選擇 **驗證器應用程式**,再選擇 **下一步**。
IAM 將產生並顯示虛擬 MFA 裝置的配置資訊,包括 QR 碼圖形。此圖形是私密組態金鑰的表示形式,適用於不支援 QR 代碼的裝置上的手動輸入。
1. 在裝置上開啟虛擬 MFA 應用程式。
如果虛擬 MFA 應用程式支援多個虛擬 MFA 裝置或帳戶,請選擇對應的選項以建立新的虛擬 MFA 裝置或帳戶。
1. 設定應用程式的最簡單方法是使用該應用程式掃描 QR 條碼。如果您無法掃描代碼,則可以手動輸入組態資訊。IAM 產生的 QR 程式碼和私密組態金鑰會繫結至您的 AWS 帳戶 ,無法與不同的 帳戶搭配使用。但是,如果您無法存取原始 MFA 裝置,則他們可以重複使用,以便為您的帳戶設定新的 MFA 裝置。
+ 若要使用 QR 碼設定虛擬 MFA 裝置,請從精靈中選擇 **Show QR code (顯示 QR 碼)**。然後,遵循應用程式說明來掃描代碼。例如,您可能需要選擇相機圖示,或選擇與 **Scan account barcode (掃描帳戶代碼)** 相似的命令,然後使用裝置的相機掃描 QR 碼。
+ 在 **Set up device** (設定裝置) 精靈中,選擇 **Show secret key** (顯示私密金鑰),然後在您的 MFA 應用程式中輸入私密金鑰。
**重要**
對 QR 條碼或私密組態金鑰進行安全備份,或確保為您的帳戶啟用多台 MFA 裝置。您可以向 AWS 帳戶根使用者 和 IAM 使用者註冊最多**八個**[目前支援 MFA 類型之任何組合的 MFA](https://aws.amazon.com/iam/features/mfa/) 裝置。虛擬 MFA 裝置可能無法使用,例如,如果您遺失託管在虛擬 MFA 裝置的智慧型手機。如果發生這種情況且您沒有連接到使用者的其他 MFA 裝置,甚至無法透過 [復原根使用者 MFA 裝置](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken) 登入您的帳戶,您將無法登入您的帳戶,您必須[聯絡客戶服務](https://support.aws.amazon.com/#/contacts/aws-mfa-support)以移除該帳戶的 MFA 保護。
裝置開始產生六位數的號碼。
1. 在精靈中的 **MFA code 1** (MFA 代碼 1) 方塊內,輸入虛擬 MFA 裝置上目前顯示的一次性密碼。請等待 30 秒,裝置將產生新的一次性密碼。然後將第二個一次性密碼輸入 **MFA code 2 (MFA 代碼 2)** 方塊中。選擇 **Add MFA** (新增 MFA)。
**重要**
產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以[重新同步裝置](id_credentials_mfa_sync.md)。
裝置已準備好與 搭配使用 AWS。如需與 AWS 管理主控台一起使用 MFA 的詳細資訊,請參閱 [啟用 MFA 的登入](console_sign-in-mfa.md)。
# 針對根使用者啟用硬體 TOTP 權杖 (主控台)
您只能從 AWS 管理主控台 為根使用者設定和啟用實體 MFA 裝置,而不是從 AWS CLI 或 AWS API。
**注意**
您可能會看到不同的文字,例如**使用 MFA 登入**和**對您的身分驗證裝置進行疑難排解**。不過,其功能是相同的。在任一情況下,若無法使用其他身分驗證要素來驗證您的帳戶電子郵件地址和電話號碼,請聯絡 [AWS 支援](https://aws.amazon.com/forms/aws-mfa-support)刪除您的 MFA 設定。
**若要針對您的根使用者啟用硬體 TOTP 權杖 (主控台)**
1. 開啟 [AWS 管理主控台](https://console.aws.amazon.com/),並使用您的根使用者憑證登入。
如需說明,請參閱*AWS 登入 《 使用者指南*》中的[以根使用者的 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。
1. 在導覽列右側選擇您的帳戶名稱,然後選擇 **安全憑證** 。
![\[在導覽選單中的安全憑證\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 展開 **Multi-factor authentication (MFA)** (多重要素驗證 (MFA)) 區段。
1. 選擇 **Assign MFA device** (指派 MFA 裝置)。
1. 在精靈中,輸入一個**裝置名稱**,然後選取 **Hardware TOTP token** (硬體 TOTP 權杖),再選擇 **Next** (下一步)。
1. 在 **Serial number (序號)** 方塊中,輸入在 MFA 裝置背面找到的序號。
1. 在 **MFA code 1 (MFA 代碼 1)** 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。
![\[IAM 儀表板,MFA 裝置\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/MFADevice.png)
1. 當裝置在重新整理代碼時,等候 30 秒時間後,在 **MFA code 2 (MFA 代碼 2)** 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。
1. 選擇 **Add MFA** (新增 MFA)。現在,MFA 裝置已與 AWS 帳戶建立關聯。
**重要**
產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以[重新同步裝置](id_credentials_mfa_sync.md)。
下次使用根使用者憑證登入時,您必須輸入 MFA 裝置的代碼。