本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理 AWS 建構家 ID 多重要素驗證 (MFA)
多重要素驗證 (MFA) 是一種簡單且有效的機制,可增強您的安全性。第一個因素:您的密碼,是您記住的秘密,也稱為知識因素。其他因素可以是擁有因素 (您擁有的事物,例如安全金鑰) 或繼承因素 (您自身的事物,例如生物特徵掃描)。我們強烈建議您設定 MFA,為您的 新增額外的 layer AWS 建構家 ID。
您可以註冊內建驗證器,也可以註冊您保存在實體安全位置的安全金鑰。如果您無法使用內建驗證器,則可以使用已註冊的安全金鑰。對於驗證器應用程式,您也可以在這些應用程式中啟用雲端備份或同步功能。如果您遺失或損壞 MFA 裝置,這可協助您避免失去對設定檔的存取權。
## 重點
+ 我們建議您註冊多個 MFA 裝置。如果您無法存取所有已註冊的 MFA 裝置,您將無法復原您的 AWS 建構家 ID。
+ 我們建議您定期檢閱已註冊的 MFA 裝置,以確保它們是最新且正常運作的。此外,您應該將這些裝置存放在不使用時實際安全的位置。
+ 如果您使用**繼續 Google** 建立帳戶,您可以透過 Google 帳戶啟用多重驗證。如需詳細資訊,請參閱[開啟2-Step驗證](https://support.google.com/accounts/answer/185839)。
+ 如果您使用 **Continue with Apple** 建立帳戶,您的 Apple 帳戶中可能已啟用多重驗證。如果沒有,如需如何啟用的詳細資訊,請參閱 [Apple 帳戶的雙重驗證](https://support.apple.com/en-us/102660)。
+ 如果您使用**繼續 GitHub** 建立帳戶,您可以透過 GitHub 帳戶啟用多重驗證。如需詳細資訊,請參閱[設定 (GitHub) 雙重驗證](https://docs.github.com/en/authentication/securing-your-account-with-two-factor-authentication-2fa/configuring-two-factor-authentication)。
+ 如果您使用 **Continue with Amazon** 建立帳戶,您可以透過 Amazon 帳戶啟用多重驗證。如需詳細資訊,請參閱[什麼是兩步驟驗證?](https://www.amazon.com/gp/help/customer/display.html?nodeId=G3PWZPU52FKN7PW4)。
## 的可用 MFA 類型 AWS 建構家 ID
AWS 建構家 ID 支援下列多重要素驗證 (MFA) 裝置類型。
### FIDO2 驗證器
[FIDO2](https://fidoalliance.org/fido2/) 是包含 CTAP2 和 [WebAuthn](https://www.w3.org/TR/webauthn-2/) 的標準,以公有金鑰密碼編譯為基礎。FIDO 登入資料具有網路釣魚防護,因為它們對建立登入資料的網站是唯一的,例如 AWS。
AWS 支援 FIDO 驗證器的兩種最常見形式因素:內建驗證器和安全金鑰。如需 FIDO 驗證器最常見類型的詳細資訊,請參閱下文。
**Topics**
+ [內建驗證器](#built-in-auth-aws_builder_id)
+ [安全金鑰](#security-keys-aws_builder_id)
+ [密碼管理器、通行金鑰提供者和其他 FIDO 驗證器](#other-mfa-aws_builder_id)
#### 內建驗證器
有些裝置具有內建驗證器,例如 MacBook 上的 TouchID 或 Windows Hello 相容攝影機。如果您的裝置與 FIDO 通訊協定相容,包括 WebAuthn,您可以使用指紋或臉部作為第二個因素。如需詳細資訊,請參閱 [FIDO 身分驗證](https://fidoalliance.org/fido2/)。
#### 安全金鑰
您可以購買與 FIDO2-compatible外部 USB、BLE 或 NFC 連接的安全金鑰。系統提示您輸入 MFA 裝置時,請輕觸金鑰的感應器。YubiKey 或 Feitian 會建立相容的裝置。如需所有相容安全金鑰的清單,請參閱 [ FIDO 認證產品](https://fidoalliance.org/certification/fido-certified-products/ )。
#### 密碼管理器、通行金鑰提供者和其他 FIDO 驗證器
多個第三方供應商支援行動應用程式中的 FIDO 身分驗證,作為密碼管理員、具有 FIDO 模式的智慧卡和其他規格尺寸的功能。這些 FIDO 相容裝置可與 IAM Identity Center 搭配使用,但建議您先自行測試 FIDO 驗證器,再為 MFA 啟用此選項。
**注意**
有些 FIDO 驗證器可以建立可探索的 FIDO 登入資料,稱為通行金鑰。通行金鑰可能繫結至建立通行金鑰的裝置,也可能可同步並備份至雲端。例如,您可以在支援的 Macbook 上使用 Apple Touch ID 註冊通行金鑰,然後在 iCloud 中使用 Google Chrome 搭配通行金鑰從 Windows 筆記型電腦登入 網站,方法是遵循登入時的螢幕提示。如需哪些裝置支援作業系統和瀏覽器之間的可同步通行金鑰和目前通行金鑰互通性的詳細資訊,請參閱 [passkeys.dev](https://passkeys.dev/) 中的[裝置支援](https://passkeys.dev/device-support/),這是 FIDO Alliance and World Wide Web Consortium (W3C) 維護的資源。
### 驗證器應用程式
驗證器應用程式是一次性密碼 (OTP) 型第三方身分驗證器。您可以使用安裝在行動裝置或平板電腦上的驗證器應用程式,做為授權的 MFA 裝置。第三方驗證器應用程式必須符合 RFC 6238,這是標準型的一次性密碼 (TOTP) 演算法,能夠產生六位數驗證碼。
提示輸入 MFA 時,您必須在顯示的輸入方塊中輸入來自驗證器應用程式的有效代碼。每個指派給使用者的 MFA 裝置都必須是唯一的。您可以為任何指定的使用者註冊兩個驗證器應用程式。
您可以從下列知名的第三方驗證器應用程式進行選擇。不過,任何符合 TOTP 的應用程式都適用於 AWS 建構家 ID MFA。
| 作業系統 | 已測試的驗證器應用程式 |
| --- | --- |
| Android | [1Password](https://play.google.com/store/apps/details?id=com.onepassword.android)、[Authy](https://play.google.com/store/apps/details?id=com.authy.authy)、[Duo Mobile](https://play.google.com/store/apps/details?id=com.duosecurity.duomobile)、[Microsoft Authenticator](https://play.google.com/store/apps/details?id=com.azure.authenticator)、[Google Authenticator](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) |
| iOS | [1Password](https://apps.apple.com/us/app/1password-password-manager/id1511601750)、[Authy](https://apps.apple.com/us/app/authy/id494168017)、[Duo Mobile](https://apps.apple.com/us/app/duo-mobile/id422663827)、[Microsoft Authenticator](https://apps.apple.com/us/app/microsoft-authenticator/id983156458)、[Google Authenticator](https://apps.apple.com/us/app/google-authenticator/id388497605) |
## 註冊您的 AWS 建構家 ID MFA 裝置
**注意**
註冊 MFA、登出,然後在同一個裝置上登入後,可能不會提示您在信任的裝置上輸入 MFA。
**使用驗證器應用程式註冊您的 MFA 裝置**
1. 在 登入您的 AWS 建構家 ID 設定檔[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。
1. 選擇 **Security (安全性)**。
1. 在**安全**頁面上,選擇**註冊裝置**。
1. 在**註冊 MFA 裝置**頁面上,選擇**驗證器應用程式**。
1. AWS 建構家 ID 會操作和顯示組態資訊,包括 QR 程式碼圖形。圖形是「秘密組態金鑰」的表示,可在不支援 QR 代碼的驗證器應用程式中手動輸入。
1. 開啟您的驗證器應用程式。如需應用程式清單,請參閱 [驗證器應用程式](#auth-apps-aws_builder_id)。
如果驗證器應用程式支援多個 MFA 裝置或帳戶,請選擇建立新 MFA 裝置或帳戶的選項。
1. 判斷 MFA 應用程式是否支援 QR 代碼,然後在**設定您的驗證器應用程式**頁面上執行下列其中一項操作:
1. 選擇**顯示 QR 碼**,然後使用應用程式掃描 QR 碼。例如,您可以選擇攝影機圖示或選擇類似於**掃描碼**的選項。然後使用裝置的相機掃描程式碼。
1. 選擇**顯示私密金鑰**,然後在 MFA 應用程式中輸入該私密金鑰。
完成後,您的驗證器應用程式將產生並顯示一次性密碼。
1. 在**驗證器程式碼**方塊中,輸入目前出現在驗證器應用程式中的一次性密碼。選擇 **Assign MFA (指派 MFA)**。
**重要**
產生代碼之後立即提交您的請求。如果您產生程式碼,然後等待太久才提交請求,則 MFA 裝置已成功與您的 建立關聯 AWS 建構家 ID,但 MFA 裝置不同步。會發生這種情況是因為定時式的一次性密碼 (TOTP) 在過了一小段時間後就會過期。這種情況下,您可以重新同步裝置。如需詳細資訊,請參閱[當我嘗試使用驗證器應用程式註冊或登入時,收到「發生意外錯誤」訊息](troubleshooting-builder-id-issues.md#syncing-mfa-aws_builder_id)。
1. 若要在 中為裝置命名易記的名稱 AWS 建構家 ID,請選擇**重新命名**。此名稱可協助您區分此裝置與您註冊的其他裝置。
MFA 裝置現在可以與 搭配使用 AWS 建構家 ID。
## 將安全金鑰註冊為您的 AWS 建構家 ID MFA 裝置
**使用安全金鑰註冊您的 MFA 裝置**
1. 在 登入您的 AWS 建構家 ID 設定檔[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。
1. 選擇 **Security (安全性)**。
1. 在**安全**頁面上,選擇**註冊裝置**。
1. 在**註冊 MFA 裝置**頁面上,選擇**安全金鑰**。
1. 確保您的安全金鑰已啟用。如果您使用單獨的實體安全金鑰,請將其連接到您的電腦。
1. 遵循畫面上的指示。您的體驗會根據您的作業系統和瀏覽器而有所不同。
1. 若要在 中為裝置命名易記的名稱 AWS 建構家 ID,請選擇**重新命名**。此名稱可協助您區分此裝置與您註冊的其他裝置。
MFA 裝置現在可以與 搭配使用 AWS 建構家 ID。
## 重新命名您的 AWS 建構家 ID MFA 裝置
**重新命名 MFA 裝置**
1. 在 登入您的 AWS 建構家 ID 設定檔[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。
1. 選擇 **Security (安全性)**。當您抵達頁面時,您會看到**重新命名**呈現灰色。
1. 選取您要變更的 MFA 裝置。這可讓您選擇**重新命名**。接著會出現對話方塊。
1. 在開啟的提示中,在 **MFA 裝置名稱中輸入新名稱**,然後選擇**重新命名**。重新命名的裝置會顯示在**多重要素驗證 (MFA) 裝置**下。
## 刪除您的 MFA 裝置
我們建議您保留兩個或多個作用中的 MFA 裝置。移除裝置之前,請參閱 [註冊您的 AWS 建構家 ID MFA 裝置](#register-mfa-aws_builder_id) 以註冊替代 MFA 裝置。若要停用 的多重要素驗證 AWS 建構家 ID,請從設定檔中移除所有已註冊的 MFA 裝置。
**刪除 MFA 裝置**
1. 在 登入您的 AWS 建構家 ID 設定檔[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。
1. 選擇 **Security (安全性)**。
1. 選取您要變更的 MFA 裝置,然後選擇**刪除**。
1. 在**刪除 MFA 裝置?**模態中,依照指示刪除您的裝置。
1. 選擇 **刪除**。
刪除的裝置不會再出現在**多重要素驗證 (MFA) 裝置**下。