本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 中指派虛擬 MFA 裝置 AWS 管理主控台
<a name="id_credentials_mfa_enable_virtual"></a>

**重要**  
AWS 建議您 AWS盡可能使用 MFA 的通行金鑰或安全金鑰。如需詳細資訊，請參閱[在 中指派通行金鑰或安全金鑰 AWS 管理主控台](id_credentials_mfa_enable_fido.md)。

您可以使用手機或其他裝置，做為虛擬多重要素驗證 (MFA) 裝置。若要執行此操作，安裝與 [RFC 6238 (以標準為基礎的 TOTP (以時間為基礎的單次密碼) 演算法)](https://datatracker.ietf.org/doc/html/rfc6238) 相容的行動應用程式。這些應用程式產生六位數的身分驗證代碼。由於驗證器可以在不安全的行動裝置上執行，而且程式碼可能會與未經授權的對象共用，因此以 TOTP 為基礎的 MFA 不提供與 [FIDO2](https://en.wikipedia.org/wiki/FIDO_Alliance#FIDO2) 安全金鑰和通行金鑰等網路釣魚防護選項相同的安全層級。我們建議您使用 MFA 的通行金鑰或安全金鑰，以最強大的防護來防範網路釣魚等攻擊。

如果您還無法使用通行金鑰或安全金鑰，建議您在等待任何硬體購買核准或硬體送達時，使用虛擬 MFA 裝置做為臨時措施。

大多數虛擬 MFA 應用程式支援建立多個虛擬裝置，可讓您為多個 AWS 帳戶 或 使用者使用相同的應用程式。您最多可以向 AWS 帳戶根使用者 和 IAM 使用者註冊**任意**組合 MFA [類型的八個 MFA](https://aws.amazon.com/iam/features/mfa/) 裝置。您只需一個 MFA 裝置即可登入 AWS 管理主控台 或透過 建立工作階段 AWS CLI。我們建議您註冊多個 MFA 裝置。對於驗證器應用程式，我們也建議您啟用雲端備份或同步功能，以協助避免在裝置遺失或損壞時，失去對帳戶的存取權。

AWS 需要產生六位數 OTP 的虛擬 MFA 應用程式。如需您可以使用的虛擬 MFA 應用程式清單，請參閱[多重要素驗證](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)。

**Topics**
+ [必要許可](#mfa_enable_virtual_permissions-required)
+ [針對 IAM 使用者啟用虛擬 MFA 裝置 (主控台)](#enable-virt-mfa-for-iam-user)
+ [取代虛擬 MFA 裝置](#replace-virt-mfa)

## 必要許可
<a name="mfa_enable_virtual_permissions-required"></a>

若要為 IAM 使用者[AWS：允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其自己的 MFA 裝置](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md)管理虛擬 MFA 裝置時，您必須擁有以下政策的許可：。

## 針對 IAM 使用者啟用虛擬 MFA 裝置 (主控台)
<a name="enable-virt-mfa-for-iam-user"></a>

您可以在 中使用 IAM AWS 管理主控台 ，為帳戶中的 IAM 使用者啟用和管理虛擬 MFA 裝置。您可以將標籤連接至 IAM 資源 (包括虛擬 MFA 裝置)，以識別、整理和控制其存取權。您只能在使用 AWS CLI 或 AWS API 時標記虛擬 MFA 裝置。若要使用 AWS CLI 或 AWS API 啟用和管理 MFA 裝置，請參閱 [在 AWS CLI 或 AWS API 中指派 MFA 裝置](id_credentials_mfa_enable_cliapi.md)。如需標記 IAM 資源的詳細資訊，請參閱 [AWS Identity and Access Management 資源的標籤](id_tags.md)。

**注意**  
您必須擁有實體存取託管使用者的虛擬 MFA 裝置的硬體，才能設定 MFA。例如，您可以為使用者設定 MFA，該使用者將使用在智慧型手機上執行的虛擬 MFA 裝置。在這種情況下，您必須有可用的智慧型手機，才能完成精靈。因此，您可能想要讓使用者設定和管理自己的虛擬 MFA 裝置。在這種情況下，您必須授予使用者執行必要 IAM 動作的許可。如需詳細資訊以及授予這些許可的 IAM 政策範例，請參閱 [IAM 教學課程：允許使用者管理其憑證和 MFA 設定](tutorial_users-self-manage-mfa-and-creds.md) 和範例政策 [AWS：允許經過 MFA 驗證的 IAM 使用者在「安全憑證」頁面中管理其自己的 MFA 裝置](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md)。

**為 IAM 使用者啟用虛擬 MFA 裝置 (主控台)**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在導覽窗格中，選擇**使用者** 。

1. 在**使用者**清單中選擇 IAM 使用者名稱。

1. 選擇 **安全憑證** 標籤。在 **Multi-Factor Authentication (MFA)** (多重要素驗證 (MFA)) 區段下方，選擇 **Assign MFA device** (指派 MFA 裝置)。

1. 在精靈中輸入 **Device name**，然後選擇 **驗證器應用程式**，再選擇 **下一步**。

   IAM 將產生並顯示虛擬 MFA 裝置的配置資訊，包括 QR 碼圖形。此圖形代表「私密組態金鑰」，可用來在不支援 QR 碼的裝置上手動輸入。

1. 開啟您的虛擬 MFA 應用程式。如需可以用於託管虛擬 MFA 裝置的應用程式清單，請參閱[多重要素驗證](https://aws.amazon.com/iam/details/mfa/)。

   如果虛擬 MFA 應用程式支援多個虛擬 MFA 裝置或帳戶，請選擇對應的選項以建立新的虛擬 MFA 裝置或帳戶。

1. 判定 MFA 應用程式是否支援 QR 碼，然後執行以下操作之一：
   + 從精靈中，選擇 **Show QR code (顯示 QR 碼)**，然後使用應用程式掃描 QR 碼。這可能是攝影機圖示或使用裝置的攝影機掃描代碼的**掃描代碼**選項。
   + 在精靈中，選擇 **Show secret key** (顯示私密金鑰)，然後在您的 MFA 應用程式中輸入私密金鑰。

   完成操作後，虛擬 MFA 裝置會開始產生一次性密碼。

1. 在 **設定裝置** 頁面中的 **MFA 代碼 1** 方塊內輸入虛擬 MFA 裝置上目前顯示的一次性密碼。請等待 30 秒，裝置將產生新的一次性密碼。然後將第二個一次性密碼輸入 **MFA code 2 (MFA 代碼 2)** 方塊中。選擇 **Add MFA** (新增 MFA)。
**重要**  
產生代碼之後立即提交您的請求。如果在產生代碼後等待很長時間才提交請求，MFA 裝置會成功地與使用者建立關聯，但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下，您可以[重新同步裝置](id_credentials_mfa_sync.md)。

虛擬 MFA 裝置現在可以與 搭配使用 AWS。如需搭配 使用 MFA 的詳細資訊 AWS 管理主控台，請參閱 [啟用 MFA 的登入](console_sign-in-mfa.md)。

**注意**  
當您透過 AWS 管理主控台 或在登入程序期間新增新的虛擬 MFA 裝置時， AWS 帳戶 會刪除 中未指派的虛擬 MFA 裝置。未指派的虛擬 MFA 裝置是指位於您帳戶中但帳戶根使用者或 IAM 使用者並未在登入程序中使用的裝置。將這些裝置刪除後，便可將新的虛擬 MFA 裝置新增至您的帳戶。刪除這些裝置後，您還可以重複使用裝置名稱。  
若要檢視帳戶中未指派的虛擬 MFA 裝置，您可以使用 [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI 命令或 [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) 呼叫。
若要停用虛擬 MFA 裝置，您可以使用 [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI 命令或 [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) 呼叫。停用後，裝置會變成未指派狀態。
若要將未指派的虛擬 MFA 裝置連接至 AWS 帳戶 根使用者或 IAM 使用者，您需要裝置產生的驗證碼，以及 [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html) AWS CLI 命令或 [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) 呼叫。

## 取代虛擬 MFA 裝置
<a name="replace-virt-mfa"></a>

您的 AWS 帳戶根使用者 和 IAM 使用者可以註冊最多**八個** MFA 裝置，任何 MFA 類型的組合。如果使用者遺失裝置或基於任何原因需要更換，請停用舊裝置。然後，再為使用者加入新的裝置。
+ 如需停用目前與另一個 IAM 使用者相關聯的裝置，請參閱 [停用 MFA 裝置](id_credentials_mfa_disable.md)。
+ 若要新增另一個 IAM 使用者的取代用虛擬 MFA 裝置，請遵循上方 [針對 IAM 使用者啟用虛擬 MFA 裝置 (主控台)](#enable-virt-mfa-for-iam-user) 程序中的步驟。
+ 若要為 新增替代虛擬 MFA 裝置 AWS 帳戶根使用者，請遵循程序 中的步驟[針對根使用者啟用虛擬 MFA 裝置 (主控台)](enable-virt-mfa-for-root.md)。