# 探索AWS：從菜鳥到熟練的完全指南(三)IAM MFA多因素身份驗證 推薦閱讀: [探索AWS：從菜鳥到熟練的完全指南(一):簡介AWS](https://hackmd.io/@gdw7l5sPTOyNv76kZ_twjA/HyTvasj25) [探索AWS：從菜鳥到熟練的完全指南(二):IAM 創建使用者](https://hackmd.io/@gdw7l5sPTOyNv76kZ_twjA/SJdVjf1D2 ) <br></br> MFA（Multi Factor Authentication 多因素身份驗證）是 AWS Identity and Access Management（IAM）中提供的一種安全功能。它增加了對 IAM 使用者的額外身份驗證層級，以確保只有經過身份驗證的使用者才能進行敏感操作或訪問受保護的資源。 在創建使用者的時候首先可以透過設定帳號來保障帳戶安全 可以設定密碼規則如: - 設定最少字數 - 要包含特定符號 大小寫 數字 - 可自行更改密碼 - 間隔多久時間要進行密碼更換 # 設定密碼規則  選擇Account settings  點擊Edit編輯  可以選擇預設或是自訂  自訂的話有各項規則可以選 勾選完畢後要點及確認按鈕 但除了設定密碼之外，再外加裝置驗證可以更加保障帳戶安全 MFA = password you know + security device you own # MFA類型 在 AWS 中，有多種 MFA（多因素身份驗證）裝置選項可供選擇，包括以下幾種： 1. 虛擬 MFA 裝置：虛擬 MFA 裝置是一種軟體應用程式，可在智慧手機或其他移動設備上運行。AWS 支援使用任何符合 TOTP（時間同步一次性密碼）標準的虛擬 MFA 裝置應用程式，例如 Google Authenticator、Authy 或 Microsoft Authenticator。這些應用程式生成一次性驗證碼，用於進行 MFA 驗證。 2. 硬體 MFA 裝置：硬體 MFA 裝置是專門設計用於提供 MFA 功能的硬體設備。AWS 支援多種硬體 MFA 裝置，例如 YubiKey。這些裝置包含一個按鈕，按下按鈕時會生成一個一次性驗證碼，用於進行 MFA 驗證。 3. 短訊服務（SMS）：AWS 也提供透過短訊傳送驗證碼的 MFA 選項。當您啟用 MFA 時，您可以選擇通過 SMS 接收驗證碼。AWS 會將驗證碼發送到您設定的手機號碼。 這些 MFA 裝置選項可根據使用者的需求和偏好進行選擇。虛擬 MFA 裝置應用程式和硬體 MFA 裝置通常被認為比短訊服務更安全，因為它們不受到網路連接或手機網路訊號的影響。此外，硬體 MFA 裝置也可以提供物理層面的安全性，例如防止偽造或複製。 MFA 通常包括以下組件： 1. 主要驗證要素：通常是使用者的密碼，作為主要的身份驗證方式。 2. 第二因素驗證要素：這是一種額外的驗證方法，通常是一個硬體或軟體裝置，例如驗證器、智慧卡、簡訊驗證碼或行動應用程式。在 MFA 中，通常使用時間同步驗證器（例如 Google Authenticator）生成的一次性驗證碼。 使用 MFA 的主要步驟如下： 1. 啟用 MFA：在 IAM 中，您需要啟用 MFA 功能並為使用者配置 MFA 裝置。這可能涉及到設置使用者的虛擬 MFA 裝置或硬體 MFA 裝置。 2. 登入時的 MFA 驗證：使用者在登入 AWS 管理控制台或使用 AWS CLI 或 SDK 時，需要提供第二因素的驗證碼以進行身份驗證。驗證碼由他們的 MFA 裝置生成。 3. 使用 MFA 進行敏感操作：在某些情況下，使用者需要在進行敏感操作（例如更改安全設定、訪問受限資源等）之前再次提供 MFA 驗證碼，以確保額外的身份驗證。 MFA 提供了額外的安全性，因為它需要使用者除了密碼之外的另一個驗證要素。這增加了對帳號的保護，即使密碼被洩露，未經授權的人也無法訪問資源。透過配置 MFA，您可以提高 IAM 使用者帳號的安全性和保護敏感資源免受未授權訪問。 # 啟用MFA *一定要使用root*  點擊右上角的帳戶 下拉選單中的 Security credentials  點擊Assign MFA  幫自己取名並且選擇第一個使用手機app認證的選項  點擊查看有什麼支援的app  下拉查看支援不同作業系統的app 就挑一個喜歡的 在手機上進行下載 (這裡是選第一個)   設定玩手機app的帳號後可以掃描網頁上的QRcode 就會獲得6位數密碼 要及時輸入至網頁  輸入完畢即完成MFA設定 # 使用MFA 當要再次用root身分登入時  輸入完信箱與密碼 輸入app上的6位數密碼至網頁中才可以登入 ###### 標籤: `AWS` `IAM` `新手教學`