为 Amazon 中的用户启用 MFA 设备

虚拟 MFA 设备是符合 RFC 6238，一种基于标准的 TOTP（基于时间的一次性密码）算法的软件应用程序。您可以在手机或其他设备上安装该应用程序。有关可用作虚拟 MFA 设备的一些受支持应用程序的列表，请参阅 Multi-Factor Authentication。

具有 Amazon 支持的配置的 FIDO 安全密钥。FIDO 联盟维护一份与 FIDO 规范兼容的所有经 FIDO 认证产品的列表。

第三方提供商提供的基于硬件的 MFA 设备，例如令牌设备。这些令牌仅与 Amazon Web Services 账户 一起使用。有关更多信息，请参阅正在启用硬件 TOTP 令牌（控制台）。您可以直接从制造商处购买这些令牌作为密钥卡或展示卡装置。

虚拟或硬件 TOTP 令牌 – 您可以使用 Amazon CLI 命令或 Amazon API 操作为 IAM 用户启用虚拟 MFA 设备。您无法使用 Amazon CLI、Amazon API、Tools for Windows PowerShell 或任何其他命令行工具为 Amazon Web Services 账户根用户 启用 MFA 设备。不过，可以使用 Amazon Web Services Management Console 为根用户启用 MFA 设备。

FIDO 安全密钥 – 拥有 FIDO 安全密钥的根用户和 IAM 用户只能从 Amazon Web Services Management Console 启用，而非从 Amazon CLI 或 Amazon API 启用。

虚拟 MFA 设备：启用虚拟 Multi-Factor Authentication (MFA) 设备（控制台）

FIDO 安全密钥：启用 FIDO 安全密钥（控制台）

硬件 TOTP 令牌：正在启用硬件 TOTP 令牌（控制台）

我们建议您在您的 Amazon Web Services 账户 中为 Amazon Web Services 账户根用户 和 IAM 用户启用多台 MFA 设备。这可以使您提高 Amazon Web Services 账户 中的安全门槛，简化对高权限用户（例如 Amazon Web Services 账户根用户）的访问管理。

您最多可以向 Amazon Web Services 账户根用户 和 IAM 用户注册 8 台当前支持的 MFA 类型任意组合的 MFA 设备。注册多台 MFA 设备后，只需一台 MFA 设备即可以该用户的身份登录 Amazon Web Services Management Console 或通过 Amazon CLI 创建会话。

如果 MFA 设备丢失、被盗或无法访问，您可以使用剩余 MFA 设备中的一台访问 Amazon Web Services 账户，而无需执行 Amazon Web Services 账户 恢复程序。如果 MFA 设备丢失或被盗，最佳做法是将丢失或被盗的设备与其关联的所有 IAM 用户解除关联。

允许在地理位置分散或远程办公的员工使用基于硬件的 MFA 访问 Amazon，而无需运送单个硬件设备或协调员工之间单个硬件设备的物理交换。

如果出于某种原因一台 MFA 设备的持有者无法使用，请使用与 IAM 用户关联的其他 MFA 设备来保持对 Amazon 中用户的访问。

将与您的 Amazon Web Services 账户根用户 和 IAM 用户关联的其他 MFA 设备存储在保管库或保险箱等安全的物理位置，同时保留对另一台 MFA 设备的物理访问以实现冗余。

FIDO 安全密钥 – 要访问 Amazon 网站，请输入您的凭证，然后在出现提示时点击 FIDO 安全密钥。

虚拟 MFA 设备和硬件 MFA 设备 – 要访问 Amazon 网站，您需要设备中的 MFA 代码以及您的用户名和密码。

要访问受 MFA 保护的 API 操作，您需要以下信息：