本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 中指派硬體 TOTP 字符 AWS 管理主控台
**重要**
AWS 建議您 AWS盡可能使用 MFA 的通行金鑰或安全金鑰。如需詳細資訊,請參閱[在 中指派通行金鑰或安全金鑰 AWS 管理主控台](id_credentials_mfa_enable_fido.md)。
硬體 TOTP 權杖會在以時間為基礎的一次性密碼 (TOTP) 演算法的基礎上產生六位數字程式碼。使用者必須在登入程序期間出現提示時輸入裝置中的有效代碼。指派給使用者的每個 MFA 裝置必須是唯一的;使用者不能從另一個使用者的裝置中輸入代碼進行身分驗證。MFA 裝置無法跨帳戶或使用者共用。
硬體 TOTP 權杖與 [FIDO 安全金鑰](id_credentials_mfa_enable_fido.md)都是您購買的實體裝置。硬體 MFA 裝置會在您登入時產生 TOTP 代碼以進行身分驗證 AWS。它們依賴電池,這可能需要 AWS 隨著時間的推移替換和重新同步。FIDO 安全金鑰使用公有金鑰加密,不需要電池並提供無縫的身分驗證程序。我們建議使用 FIDO 安全金鑰來防禦網路釣魚,這為 TOTP 裝置提供了更安全的替代方案。此外,FIDO 安全金鑰可以支援同一裝置上的多個 IAM 或根使用者,從而增強其公用程式以確保帳戶安全。如需兩種裝置類型的規格及購買資訊,請參閱[多重要素驗證](https://aws.amazon.com/iam/details/mfa/)。
您可以從 、 AWS 管理主控台命令列或 IAM API 為 IAM 使用者啟用硬體 TOTP 字符。若要為您的 啟用 MFA 裝置 AWS 帳戶根使用者,請參閱 [針對根使用者啟用硬體 TOTP 權杖 (主控台)](enable-hw-mfa-for-root.md)。
您可以向 AWS 帳戶根使用者 和 IAM 使用者註冊最多**八個** MFA 裝置,其為[目前支援的 MFA 類型](https://aws.amazon.com/iam/features/mfa/)的任何組合。使用多個 MFA 裝置時,您只需一個 MFA 裝置即可登入 , AWS 管理主控台 或透過 以該使用者 AWS CLI 身分建立工作階段。
**重要**
建議您為您的使用者啟用多台 MFA 裝置,以便在一台 MFA 裝置遺失或無法存取時繼續存取您的帳戶。
**注意**
如果您想要從命令列啟用 MFA 裝置,請使用 [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html)。若要使用 IAM API 啟用 MFA 裝置,請使用 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) 操作。
**Topics**
+ [必要許可](#enable-hw-mfa-for-iam-user-permissions-required)
+ [啟用您 IAM 使用者的硬體 TOTP 權杖 (主控台)](#enable-hw-mfa-for-own-iam-user)
+ [啟用另一個 IAM 使用者的硬體 TOTP 權杖 (主控台)](#enable-hw-mfa-for-iam-user)
+ [取代實體 MFA 裝置](#replace-phys-mfa)
## 必要許可
若要管理您 IAM 使用者的硬體 TOTP 權杖,同時保護敏感的 MFA 相關動作,您必須擁有下列政策的許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
## 啟用您 IAM 使用者的硬體 TOTP 權杖 (主控台)
您可以從 AWS 管理主控台啟用您自己的硬體 TOTP 權杖。
**注意**
在您可以啟用硬體 TOTP 權杖之前,您必須擁有裝置的實體存取權。
**要啟用您 IAM 使用者的硬體 TOTP 權杖 (主控台)**
1. 使用 AWS 您的帳戶 ID 或帳戶別名、IAM 使用者名稱和密碼登入 [IAM 主控台](https://console.aws.amazon.com/iam)。
**注意**
為了方便起見, AWS 登入頁面會使用瀏覽器 Cookie 來記住您的 IAM 使用者名稱和帳戶資訊。如果您先前以不同的使用者身分登入,請選擇在頁面底部附近的 **Sign in to a different account** (登入不同的帳戶),返回主要登入頁面。從那裡,您可以輸入 AWS 您的帳戶 ID 或帳戶別名,以重新導向至您帳戶的 IAM 使用者登入頁面。
若要取得您的 AWS 帳戶 ID,請聯絡您的管理員。
1. 在右上方的導覽列中,選擇您的使用者名稱,然後選擇 **安全憑證** 。
![\[AWS 管理主控台 安全登入資料連結\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. 在 **AWS IAM credentials** ( IAM 憑證) 索引標籤上,在 **Multi-factor authentication (MFA)** (多重要素驗證 (MFA)) 區段,選擇 **Assign MFA device** (指派 MFA 裝置)。
1. 在精靈中,輸入一個**裝置名稱**,然後選取 **Hardware TOTP token** (硬體 TOTP 權杖),再選擇 **Next** (下一步)。
1. 輸入裝置序號。序號通常位於裝置的背面。
1. 在 **MFA code 1 (MFA 代碼 1)** 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。
![\[IAM 儀表板,MFA 裝置\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/MFADevice.png)
1. 當裝置在重新整理代碼時,等候 30 秒時間後,在 **MFA code 2 (MFA 代碼 2)** 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。
1. 選擇 **Add MFA** (新增 MFA)。
**重要**
產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以[重新同步裝置](id_credentials_mfa_sync.md)。
裝置已準備好與 搭配使用 AWS。如需與 AWS 管理主控台一起使用 MFA 的詳細資訊,請參閱 [啟用 MFA 的登入](console_sign-in-mfa.md)。
## 啟用另一個 IAM 使用者的硬體 TOTP 權杖 (主控台)
您可以從 AWS 管理主控台啟用另一個 IAM 使用者的硬體 TOTP 權杖。
**要啟用另一個 IAM 使用者的硬體 TOTP 權杖 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**使用者** 。
1. 選擇要為其啟用 MFA 的使用者名稱。
1. 選擇 **安全憑證** 標籤。在 **Multi-Factor Authentication (MFA)** (多重要素驗證 (MFA)) 區段下方,選擇 **Assign MFA device** (指派 MFA 裝置)。
1. 在精靈中,輸入一個**裝置名稱**,然後選取 **Hardware TOTP token** (硬體 TOTP 權杖),再選擇 **Next** (下一步)。
1. 輸入裝置序號。序號通常位於裝置的背面。
1. 在 **MFA code 1 (MFA 代碼 1)** 方塊中,輸入 MFA 裝置顯示的六位數字。您可能需要按下裝置正面的按鈕以顯示數字。
![\[IAM 儀表板,MFA 裝置\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/MFADevice.png)
1. 當裝置在重新整理代碼時,等候 30 秒時間後,在 **MFA code 2 (MFA 代碼 2)** 方塊中輸入六位數字。您可能需要再次按下裝置正面的按鈕以顯示第二個數字。
1. 選擇 **Add MFA** (新增 MFA)。
**重要**
產生驗證代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求,MFA 裝置會成功地與使用者建立關聯,但 MFA 裝置卻變成不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以[重新同步裝置](id_credentials_mfa_sync.md)。
裝置已準備好與 搭配使用 AWS。如需與 AWS 管理主控台一起使用 MFA 的詳細資訊,請參閱 [啟用 MFA 的登入](console_sign-in-mfa.md)。
## 取代實體 MFA 裝置
您的 AWS 帳戶根使用者 和 IAM 使用者一次最多可以有八個 MFA 裝置指派給使用者[目前支援的 MFA 類型](https://aws.amazon.com/iam/features/mfa/)任意組合。如果使用者遺失裝置或基於任何原因需要汰換,您必須先停用舊裝置。然後,再為使用者加入新的裝置。
+ 如需停用目前與使用者相關聯的裝置,請參閱 [停用 MFA 裝置](id_credentials_mfa_disable.md)。
+ 若要新增 IAM 使用者適用的替代硬體 TOTP 權杖,請遵循本主題稍早介紹的 [啟用另一個 IAM 使用者的硬體 TOTP 權杖 (主控台)](#enable-hw-mfa-for-iam-user) 程序。
+ 若要為 新增替換硬體 TOTP 權杖 AWS 帳戶根使用者,請遵循本主題[針對根使用者啟用硬體 TOTP 權杖 (主控台)](enable-hw-mfa-for-root.md)先前程序中的步驟。