引言

多因素认证（Multi-Factor Authentication, MFA）是一种重要的安全措施，可以显著提高您的AWS账号的安全性。通过启用MFA，即使密码被盗，攻击者也难以访问您的账户。本文中九河云将详细介绍如何在AWS Management Console中为IAM用户和根用户分配虚拟MFA设备。

什么是虚拟MFA设备

虚拟MFA设备是一种基于时间的一次性密码（Time-based One-Time Password, TOTP）生成器，通常以移动应用程序的形式存在。这些应用程序符合RFC 6238标准，能够生成六位数的身份验证代码。虽然虚拟MFA设备可能不如硬件MFA设备安全，但在等待硬件设备到达或批准时，它们是一个很好的临时解决方案。

支持的虚拟MFA应用程序

• Google Authenticator
• Microsoft Authenticator
• Authy
• Duo Mobile

分配虚拟MFA设备的步骤

步骤 1：安装虚拟MFA应用程序

1. 在您的手机或其他设备上安装一个符合RFC 6238标准的虚拟MFA应用程序。
2. 打开应用程序并准备好添加新的MFA设备。

步骤 2：登录AWS Management Console

1. 打开浏览器并访问 AWS Management Console。
2. 使用您的AWS账号登录。

步骤 3：选择用户

1. 在导航窗格中，选择“用户”。
2. 在用户列表中，选择您要为其启用MFA的IAM用户的名称。

步骤 4：分配MFA设备

1. 选择“安全凭证”选项卡。
2. 在“多重身份验证 (MFA)”部分中，选择“分配MFA设备”。

步骤 5：配置MFA设备

1. 在向导中，键入设备名称，选择“身份验证器应用程序”，然后选择“下一步”。
2. IAM将生成并显示虚拟MFA设备的配置信息，包括QR码图形。此图形是秘密配置密钥的表示形式，适用于不支持QR码的设备上的手动输入。

步骤 6：扫描或输入密钥

1. 打开您的虚拟MFA应用程序。
2. 确定MFA应用程序是否支持QR码，然后执行以下操作之一：
   • 使用QR码：在向导中，选择“显示QR码”，然后使用该应用程序扫描QR码。
   • 手动输入密钥：在向导中，选择“显示私有密钥”，然后在您的MFA应用程序中键入私有密钥。

步骤 7：验证MFA设备

1. 完成操作后，虚拟MFA设备会开始生成一次性密码。
2. 在设置设备页面中的“MFA代码1”框中，键入虚拟MFA设备当前显示的一次性密码。
3. 等待30秒，以便设备生成新的一次性密码。然后在“MFA代码2”框中键入第二个一次性密码。
4. 选择“添加MFA”。

重要提示

• 生成代码之后立即提交您的请求。如果生成代码后等待很长时间才提交请求，MFA设备会成功与用户关联，但MFA设备无法同步。这是因为基于时间的一次性密码 (TOTP) 很快会过期。这种情况下，您可以重新同步设备。

替换虚拟MFA设备

如果您需要更换虚拟MFA设备，可以按照以下步骤进行操作：

停用旧设备

1. 登录到AWS Management Console。
2. 导航到“用户”并选择相应的IAM用户。
3. 选择“安全凭证”选项卡。
4. 在“多重身份验证 (MFA)”部分中，选择“停用MFA设备”。

添加新设备

1. 按照上述“分配虚拟MFA设备”的步骤，为用户添加新的虚拟MFA设备。

最佳实践

• 注册多个MFA设备：建议注册多个MFA设备，以防止单点故障。
• 启用云备份：对于身份验证器应用程序，建议您启用云备份或同步功能，以帮助避免在设备丢失或损坏时失去对账户的访问权限。
• 定期审查：定期审查MFA设备的状态，确保所有设备都在正常工作。

注意事项

• 物理访问：您必须拥有对将托管用户的虚拟MFA设备的硬件的物理访问权限以便配置MFA。例如，您可能为使用在智能手机上运行的虚拟MFA设备的用户配置MFA。在这种情况下，您必须具有智能手机才能完成该向导。
• 权限管理：确保您具有适当的IAM权限来管理MFA设备。有关更多信息以及授予这些权限的IAM策略示例，请参阅 IA中M教程：允许用户管理其凭证和MFA设置 和 示例策略。

结论

通过启用虚拟MFA设备，您可以显著提高AWS账号的安全性。遵循本文提供的步骤和最佳实践，可以帮助您更好地管理和保护您的AWS账户。希望本文对您有所帮助！

想要了解更多的AWS云领域知识请关注九河云。