如何在AWS中為IAM用戶設(shè)置多因素身份驗(yàn)證

雖然云計(jì)算服務(wù)給許多企業(yè)帶來(lái)的好處已經(jīng)得到了很好的證明，但要充分利用所有這些計(jì)算能力，則需要謹(jǐn)慎、勤勉地使用安全協(xié)議和過(guò)程。多因素身份驗(yàn)證是一種更直接、更有效的云服務(wù)安全協(xié)議，應(yīng)該作為訪問(wèn)控制的一部分實(shí)現(xiàn)。

為Amazon Web服務(wù)(AWS)設(shè)置多因素身份驗(yàn)證(MFA)需要使用可信的第三方身份驗(yàn)證代碼生成器。一般來(lái)說(shuō)，身份驗(yàn)證代碼生成器定期計(jì)算一個(gè)惟一的代碼，然后在登錄過(guò)程中將其輸入AWS。對(duì)代碼的訪問(wèn)，加上正確的密碼輸入，將驗(yàn)證您訪問(wèn)AWS的身份和授權(quán)。在授予訪問(wèn)權(quán)限之前，用戶必須提供這兩個(gè)安全因素。

本教程向您展示了如何使用移動(dòng)設(shè)備創(chuàng)建一個(gè)簡(jiǎn)單的MFA安全協(xié)議。然后，可以將MFA安全協(xié)議應(yīng)用于身份和管理(IAM)系統(tǒng)下授予AWS訪問(wèn)權(quán)限的用戶。

在將IAM用戶與MFA協(xié)議關(guān)聯(lián)之前，必須先將身份驗(yàn)證代碼生成器應(yīng)用程序下載并安裝到智能手機(jī)或其他移動(dòng)設(shè)備上。每個(gè)操作系統(tǒng)都有一些可用的應(yīng)用程序，但是在本例中，我們使用的是Android上的Authy 2因素身份驗(yàn)證，它在谷歌Play上是免費(fèi)的(圖a)。

有了生成器之后，登錄到AWS控制臺(tái)并使用服務(wù)菜單導(dǎo)航到IAM服務(wù)部分，如圖b所示。使用左側(cè)導(dǎo)航窗格選擇用戶。

在用戶頁(yè)面上，選擇要配置的用戶名，然后選擇Security credentials選項(xiàng)卡(圖C)。

選擇適當(dāng)?shù)腗FA設(shè)備并單擊Continue按鈕。在下一頁(yè)圖D中，您將有一個(gè)選擇。如果你的代碼生成器可以讀取二維碼，點(diǎn)擊鏈接并按照移動(dòng)設(shè)備上的說(shuō)明操作?；蛘撸瑔螕翩溄语@示密碼并手動(dòng)輸入。

輸入密碼后，將要求您輸入在移動(dòng)設(shè)備上生成的下兩個(gè)代碼。輸入這兩個(gè)代碼后，單擊Assign MFA按鈕。注意，如果在分配MFA代碼之前延遲太久，設(shè)置可能會(huì)失敗，您將不得不重新開(kāi)始。

如果安裝成功，您將收到確認(rèn)通知(圖E)。單擊close按鈕完成該過(guò)程。

現(xiàn)在，下一次該IAM用戶登錄到AWS時(shí)，他們將被要求在您的移動(dòng)設(shè)備上輸入該應(yīng)用程序生成的密碼和身份驗(yàn)證代碼。額外的安全級(jí)別將有助于保護(hù)AWS上的企業(yè)云服務(wù)不被錯(cuò)誤的人訪問(wèn)。