为 AWS 账户开启 MFA

文档信息

属性	说明
难度等级	初级
预计耗时	10-15 分钟
任务目标	为 AWS root 账户或 IAM 用户启用多因素认证（MFA），增强账户安全性
使用环境	AWS 管理控制台
前置条件	- 具有 AWS 账户访问权限 - 智能手机（用于虚拟 MFA 应用）

什么是 MFA

多因素认证（MFA） 是一种安全机制，要求用户在登录时提供两个或多个验证因素。

MFA 设备类型

AWS 支持以下 MFA 设备类型：

类型	说明	推荐度
虚拟 MFA 设备	使用手机应用生成验证码（如 Google Authenticator、Microsoft Authenticator）	最佳实践
硬件 TOTP 令牌	物理设备生成验证码	适用于高安全要求场景

本文档使用虚拟 MFA 设备作为示例。

---

为 Root 账户启用 MFA

步骤 1：登录 AWS 控制台

1. 使用 root 账户凭证登录 AWS 管理控制台
2. 点击右上角的账户名称
3. 选择 安全凭证 (Security credentials)

步骤 2：分配 MFA 设备

1. 在 多因素认证 (MFA) 部分，点击 分配 MFA 设备 (Assign MFA device)

2. 在弹出窗口中：
   • 设备名称：输入设备名称（如：my-phone-mfa）
   • MFA 设备类型：选择 虚拟 MFA 设备 (Authenticator app)

3. 点击 下一步

步骤 3：配置 MFA 应用

1. 在手机上安装 MFA 应用：

   • Google Authenticator：iOS | Android
   • Microsoft Authenticator：iOS | Android

2. 打开 MFA 应用，扫描控制台显示的二维码

3. 如果无法扫描，点击 显示密钥 (Show secret key)，手动输入密钥

步骤 4：验证 MFA 配置

1. MFA 应用会显示 6 位数字验证码（每 30 秒更新一次）

2. 在控制台输入框中：

   • MFA code 1：输入当前显示的验证码
   • 等待验证码更新（约 30 秒）
   • MFA code 2：输入新的验证码

3. 点击 添加 MFA (Add MFA)

步骤 5：确认 MFA 已启用

配置成功后，多因素认证 (MFA) 部分会显示已分配的 MFA 设备。

---

为 IAM 用户启用 MFA

步骤 1：访问 IAM 控制台

1. 登录 AWS 管理控制台
2. 导航至 IAM 服务
3. 在左侧导航栏点击 用户 (Users)
4. 选择需要启用 MFA 的用户

步骤 2：分配 MFA 设备

1. 进入 安全凭证 (Security credentials) 选项卡
2. 在 多因素认证 (MFA) 部分，点击 分配 MFA 设备 (Assign MFA device)

3. 配置步骤与 Root 账户相同（参考上文步骤 2-5）

---

MFA 登录流程

启用 MFA 后，登录流程变更如下：

flowchart TD
    A[访问 AWS 登录页面] --> B[输入用户名和密码]
    B --> C[输入 MFA 验证码]
    C --> D[成功登录]
    
    style C fill:#f9f,stroke:#333,stroke-width:2px

1. 输入账户 ID、用户名和密码
2. 在 MFA 验证页面，打开手机 MFA 应用
3. 输入当前显示的 6 位验证码
4. 点击 提交 (Submit) 登录

---

常见问题

问题 1：丢失 MFA 设备怎么办？

Root 账户：

1. 登录时点击 MFA 设备故障排查 (Troubleshoot MFA)
2. 使用备用验证方式（邮箱或电话）
3. 联系 AWS 支持重置 MFA

IAM 用户：

1. 联系账户管理员
2. 管理员在 IAM 控制台为用户停用旧 MFA 设备
3. 重新分配新 MFA 设备

问题 2：MFA 验证码无效

解决方案：

1. 确认手机时间设置为自动同步
2. 检查是否输入了过期的验证码（每 30 秒更新）
3. 重新扫描二维码配置 MFA

问题 3：是否可以为一个用户分配多个 MFA 设备？

AWS 允许为每个用户分配最多 8 个 MFA 设备，建议至少配置 2 个作为备份。

---

扩展阅读

• AWS IAM 用户指南 - MFA
• AWS 安全最佳实践
• MFA 设备故障排查