AWS Identity and Access Management (IAM) 使您能够安全地控制用户对 AWS 服务和资源的访问。您可以使用 IAM 来创建和管理 AWS 用户和群组,并使用各种权限来允许或拒绝他们使用 AWS 资源。

首次使用的用户应访问“IAM 用户指南”的 IAM Best Practices 部分。要开始使用 IAM,请登录 AWS 管理控制台

IAM 也支持公司目录和 AWS 服务之间的身份联合。这可以让您使用现有公司身份授予对 Amazon S3 存储桶等亚马逊 AWS 资源的安全访问权限,而不必为那些用户创建新的亚马逊 AWS 身份。要了解更多信息,请试用我们的示例应用程序

AWS 多重验证 (MFA) 是一种非常简便的最佳实践,它能够在 用户名 和密码之外再额外增加一层保护。当启用 MFA 的用户登录 AWS 网站时,系统将要求他们输入 用户名 和密码 (第一安全要素 – 用户已知),以及来自其 AWS 虚拟 MFA 设备的身份验证代码 (第二安全要素 – 用户已有)。这些多重要素结合起来将为您的 AWS 账户设置和资源提供更高的安全保护。

您可以为 AWS 账户以及在该账户下创建的各个 IAM 用户启用 AWS MFA。MFA 还可用于控制对 AWS 服务 API 的访问。

虚拟 MFA 应用程序

您可以从针对您的手机类型的应用程序商店在您的智能手机上安装应用程序。下表展示了针对不同智能手机类型的一些应用程序:

有关预置虚拟 MFA 设备的常见问题

问:什么是虚拟 MFA 设备?
虚拟 MFA 设备是在兼容 TOTP 的软件应用程序中创建的条目,可生成六位数身份验证代码。该软件应用程序可在任何兼容的计算设备 (如智能手机) 上运行。

问:如何预置新的虚拟 MFA 设备?
您可以在 IAM 控制台中为 IAM 用户配置新的虚拟 MFA 设备。您可以在 IAM 控制台安全证书页面中找到 MFA 配置流程。有关如何预置虚拟 MFA 设备的更多信息,请参阅启用虚拟多重验证 (MFA) 设备

问:什么是二维码?
二维码是一种二维条形码,可由专门的二维码阅读器和大多数智能手机读取。该代码由白色背景下的大方形图案中排列的黑色方块组成。二维码包含在虚拟 MFA 应用程序中预置虚拟 MFA 设备所需的安全配置信息。

问:如何为虚拟 MFA 设备处理和分配种子材料?

您应当像对待任何其他密钥 (例如 AWS 密钥和密码) 一样对待种子材料。

问:如何使 IAM 用户可以管理我账户下的虚拟 MFA 设备?
授予 IAM 用户调用 CreateVirtualMFADevice API 的权限。您可以使用此 API 预置新的虚拟 MFA 设备。


使用本服务需遵守 AWS 客户协议