適用於 IAM 的多重要素驗證 (MFA)
什麼是 MFA?
可用於 IAM 的 MFA 方法
您可以在 IAM 主控台中管理您的 MFA 裝置。以下是 IAM 支援的 MFA 選項。
密鑰和安全金鑰
密鑰和安全金鑰基於 FIDO 標準,可在使用者的裝置上提供更輕鬆、更安全的登入。FIDO 身分驗證標準以公有金鑰加密法為基礎,可實現強健而且比密碼更安全的防網路釣魚身分驗證。密鑰透過您選擇的密鑰提供者 (例如 iCloud Keychain、Google Password Manager、1Password 或 Dashlane),使用您的指紋、面部或裝置 PIN 碼建立,並且會在您的裝置上同步,以便使用 AWS 登入。客戶還可使用 Yubico 等第三方供應商提供的裝置綁定密鑰 (也稱為安全金鑰)。FIDO Alliance 維護著一份經 FIDO 認證的全部產品清單,這些產品都與 FIDO 規格相容。FIDO 安全金鑰可支援使用單一安全金鑰的多個根帳戶和 IAM 使用者。所有 AWS 區域中的根使用者和 IAM 使用者都支援密鑰和安全金鑰,Sinnet 營運的 AWS 中國 (北京) 區域和 NWCD 營運的 AWS (寧夏) 區域除外。如需有關啟用 FIDO 安全金鑰的更多資訊,請參閱啟用通行密鑰或安全金鑰。
AWS 在美國境內為符合資格的 AWS 帳戶擁有者提供免費的 MFA 安全金鑰。若要確定資格條件並訂購金鑰,請參閱 Security Hub 主控台。
虛擬驗證器應用程式
虛擬驗證器應用程式會實作以時間為基礎的一次性密碼 (TOTP) 演算法,並在一台裝置上支援多個權杖。AWS GovCloud (美國) 區域和其他 AWS 區域的 IAM 使用者都可以使用虛擬驗證器。如需有關啟用虛擬驗證器的更多資訊,請參閱啟用虛擬多重要素驗證 (MFA) 裝置。
您可以在應用程式商店中下載適用於您的智慧手機類型的應用程式,並安裝到您的智慧手機上。部分應用程式供應商還提供 Web 和桌面應用程式。請參閱以下表格中的範例。
硬體 TOTP 權杖
硬體權杖還支援 TOTP 演算法,並且由第三方供應商 Thales 提供。 這些權杖專門用於 AWS 帳戶。如需詳細資訊,請參閱啟用硬體 MFA 裝置。
為確保與 AWS 相容,您必須透過此頁面上的連結,購買您的 MFA 字符。從其他來源購買的字符可能無法與 IAM 一起運作,因為 AWS 在製作字符時要求獨特的「字符種子」,也就是密鑰。唯有透過此頁面的連結購買的字符,才能與 AWS 安全共享其字符種子。MFA 字符以兩種形式提供:OTP 字符和 OTP 顯示卡。
適用於 AWS GovCloud (美國) 區域的硬體 TOTP 字符
硬體 TOTP 權杖與 AWS GovCloud (美國) 區域相容,並且由第三方供應商 Hypersecu 提供。這些字符專門供 IAM 使用者用於 AWS GovCloud (美國) 帳戶。
為確保與 AWS 相容,您必須透過此頁面上的連結,購買您的 MFA 字符。從其他來源購買的字符可能無法與 IAM 一起運作,因為 AWS 在製作字符時要求獨特的「字符種子」,也就是密鑰。唯有透過此頁面的連結購買的字符,才能與 AWS 安全共享其字符種子。MFA 字符以 OTP 權杖形式提供。