本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM 中的 AWS 多重要素驗證
為了提高安全性,我們建議您設定多重要素驗證 (MFA) 以協助保護您的 AWS 資源。您可以為所有 AWS 帳戶 (包括獨立帳戶、管理帳戶和成員帳戶) 的 AWS 帳戶根使用者 以及您的 IAM 使用者啟用 MFA。
對於所有類型的帳戶,其根使用者均強制執行 MFA。如需更多詳細資訊,請參閱 保護 AWS Organizations 您的帳戶根使用者登入資料。
當您為根使用者啟用 MFA 時,它僅影響根使用者憑證。帳戶中的 IAM 使用者都有自己憑證的不同身分,並且每個身分都有自己的 MFA 組態。如需有關使用 MFA 保護根使用者的詳細資訊,請參閱針對 AWS 帳戶根使用者的多重要素驗證。
您的 AWS 帳戶根使用者和 IAM 使用者可以註冊最多八個任何類型的 MFA 裝置。註冊多個 MFA 裝置可以提供彈性,並協助您降低裝置遺失或損壞時存取中斷的風險。您只需要一個 MFA 裝置登入 AWS 管理主控台,或透過 AWS CLI 建立工作階段。
注意
存取 AWS 時,我們建議您要求人類使用者使用暫時性憑證。您是否考慮過使用 AWS IAM Identity Center? 您可以使用 IAM Identity Center 集中管理多個 AWS 帳戶 的存取,並為使用者提供受 MFA 保護的單一登入存取權,從單一位置存取其所有指派帳戶。使用 IAM Identity Center,您可以在 IAM Identity Center 中建立和管理使用者身分,或輕鬆連線至您現有的 SAML 2.0 相容身分提供者。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的什麼是 IAM Identity Center?。
MFA 增加了額外的安全,要求使用者在存取 AWS 網站或服務時,除了標準登入憑證外,還需要透過 AWS 支援的 MFA 機制提供唯一的身分驗證。
MFA 類型
AWS 支援下列 MFA 類型:
通行密鑰和安全金鑰
AWS Identity and Access Management 支援 MFA 的通行密鑰和安全金鑰。根據 FIDO 標準,通行密鑰會使用公有金鑰密碼編譯,提供比密碼更安全的防釣魚強身分驗證。AWS 支援兩種類型的通行密鑰:裝置繫結的通行密鑰 (安全金鑰) 和同步通行密鑰。
-
安全金鑰:這些是用作身分驗證的第二個因素的實體裝置,例如 YubiKey。單一安全金鑰可以支援多個根使用者帳戶和 IAM 使用者。
-
同步通行密鑰:這些使用來自提供者 (例如 Google、Apple、Microsoft 帳戶等) 和第三方服務 (例如 1Password、Dashlane 和 Bitwarden 等) 的憑證管理工具作為第二個因素。
您可以使用內建的生物識別驗證器,例如 Apple MacBooks 上的 Touch ID,解鎖您的憑證管理工具並登入 AWS。通行密鑰是透過您選擇的提供者,使用指紋、面部或裝置 PIN 碼建立的。您也可以使用一台裝置 (例如行動裝置或硬體安全金鑰) 中的跨帳戶身分驗證 (CDA) 通行密鑰,在筆記型電腦等其他裝置上登入。如需詳細資訊,請參閱 cross-device authentication
您可以跨裝置同步通行密鑰,以協助 AWS 登入,增強可用性和可復原性。如需啟用通行密鑰和安全金鑰的詳細資訊,請參閱為根使用者啟用通行密鑰或安全金鑰 (主控台)。
FIDO Alliance 維護與 FIDO 規範相容的所有經 FIDO 認證的產品
虛擬驗證器應用程式
在手機或其他裝置上執行並模擬實體裝置的虛擬驗證器應用程式。虛擬驗證器應用程式實作以時間為基礎的一次性密碼
我們強烈建議您在等待硬體的購買核准或等待硬體就定位時,使用虛擬 MFA 裝置。如需可以用來做為虛擬 MFA 裝置的支援應用程式清單,請參閱多重要素驗證 (MFA)
如需為 IAM 使用者設定虛擬 MFA 裝置的說明,請參閱在 AWS 管理主控台中指派虛擬 MFA 裝置。
注意
當您透過 AWS 管理主控台或在登入程序期間新增新的虛擬 MFA 裝置時,系統會刪除 AWS 帳戶中未指派的虛擬 MFA 裝置。未指派的虛擬 MFA 裝置是指位於您帳戶中但帳戶根使用者或 IAM 使用者並未在登入程序中使用的裝置。將這些裝置刪除後,便可將新的虛擬 MFA 裝置新增至您的帳戶。刪除這些裝置後,您還可以重複使用裝置名稱。
-
若要檢視帳戶中未指派的虛擬 MFA 裝置,可以使用 list-virtual-mfa-devices
AWS CLI 命令或 API 呼叫。 -
若要停用虛擬 MFA 裝置,可以使用 deactivate-mfa-device
AWS CLI 命令或 API 呼叫。停用後,裝置會變成未指派狀態。 -
若要將某個未指派的虛擬 MFA 裝置連接至 AWS 帳戶根使用者或 IAM 使用者,則需要使用該裝置產生的驗證碼以及 enable-mfa-device
AWS CLI 命令或 API 呼叫。
硬體 TOTP 權杖
一種在以時間為基礎的一次性密碼 (TOTP) 演算法
這些權杖只與 AWS 帳戶 搭配使用。您只能使用具有與 AWS 安全地共用的唯一權杖種子的權杖。權杖種子是權杖生產時產生的私密金鑰。從其他來源購買的權杖將無法與 IAM 一起運作。若要確保相容性,您必須從下列其中一個連結購買硬體 MFA 裝置:OTP 權杖
-
每個指派給使用者的 MFA 裝置都必須是唯一的。使用者無法輸入另一個使用者裝置的代碼來進行身分驗證。如需支援的硬體 MFA 裝置資訊,請參閱多重要素驗證 (MFA)
。 -
如果想要使用實體 MFA 裝置,我們建議您使用安全金鑰作為硬體 TOTP 裝置的替代方案。安全金鑰沒有電池需求、可防禦網路釣魚,並支援單一裝置上的多個使用者。
您只能從 AWS 管理主控台啟用通行密鑰或安全金鑰,而無法從 AWS CLI 或 AWS API 進行此動作。在可以啟用安全金鑰之前,您必須擁有對裝置的實體存取權。
如需有關為 IAM 使用者設定硬體 TOTP 權杖的說明,請參閱在 AWS 管理主控台中指派硬體 TOTP 權杖。
注意
SMS 簡訊式 MFA。AWS 結束了對啟用 SMS 多重要素驗證 (MFA) 的支援。我們建議擁有使用 SMS 簡訊式 MFA 的 IAM 使用者的客戶改為使用下列任一種替代方式:通行密鑰或安全金鑰、虛擬 (軟體式) MFA 裝置,或硬體 MFA 裝置。您可以使用已分配的 SMS MFA 裝置來識別帳戶中的使用者。在 IAM 主控台中,從導覽窗格選擇 Users (使用者),然後在表格中 MFA 欄位尋找具有 SMS 的使用者。
MFA 建議
若要協助保護您的 AWS 身分,請遵循以下 MFA 身分驗證建議。
-
我們建議您為 AWS 帳戶 中的 AWS 帳戶根使用者 和 IAM 使用者啟用多台 MFA 裝置。這允許您提高 AWS 帳戶 中的安全標準,並對高度權限使用者 (例如 AWS 帳戶根使用者) 的存取權管理進行簡化。
-
您可以 以目前受支援 MFA 類型
的任意組合為您的 AWS 帳戶根使用者 和 IAM 使用者註冊最多 八台 MFA 裝置。對於多台 MFA 裝置,您只需要有一台 MFA 裝置登入 AWS 管理主控台 或以該使用者身分透過 AWS CLI 建立工作階段。IAM 使用者必須使用現有的 MFA 裝置進行身分驗證,才能啟用或停用其他 MFA 裝置。 -
如果 MFA 裝置遺失、遭竊或無法存取,您可以使用剩餘的其中一台 MFA 裝置存取 AWS 帳戶,而無需執行 AWS 帳戶 復原程序。如果 MFA 裝置遺失或遭竊,應取消 MFA 裝置與 IAM 主體的可能關聯。
-
多個 MFA 的使用可讓分散在各地的員工或在遠端辦公的員工使用硬體式 MFA 存取 AWS,而不需要在員工之間協調單一硬體裝置的實體交換。
-
針對 IAM 主體使用額外的 MFA 裝置,可讓您在日常使用期間使用一或多個 MFA 裝置,同時將實體 MFA 裝置維護在安全的實體位置 (例如文件庫),或是用於備份和備援的安全位置。
備註
-
您無法將 FIDO 安全性金鑰的 MFA 資訊傳遞給 AWS STS API 操作以請求暫時憑證。
-
您無法使用 AWS CLI 命令或 AWS API 操作來啟用 FIDO 安全性金鑰。
-
同一個名稱不能用於多個根使用者或 IAM MFA 裝置。
其他資源
下列資源可協助您進一步了解 MFA。
-
如需使用 MFA 存取 AWS 的詳細資訊,請參閱啟用 MFA 的登入。
-
您可以利用 IAM Identity Center 啟用對 AWS 存取入口網站、IAM Identity Center 整合應用程式和 AWS CLI 的安全 MFA 存取。如需詳細資訊,請參閱在 IAM Identity Center 中啟用 MFA。
