如何在AWS中为IAM用户设置多因素身份验证

虽然云计算服务给很多企业带来的好处已经得到了很好的证明，但是要充分利用所有这些计算能力，就需要谨慎、勤奋地使用安全协议和流程。多因素认证是一种更直接有效的云服务安全协议，应该作为访问控制的一部分来实现。

为亚马逊网络服务(AWS)设置多因素身份验证(MFA)需要可信的第三方身份验证代码生成器。一般来说，验证码生成器会定期计算一个唯一的代码，然后在登录时输入到AWS中。对代码的访问以及正确的密码输入将验证您的身份和访问AWS的授权。在授予访问权限之前，用户必须提供这两个安全因素。

本教程向您展示了如何使用移动设备创建简单的MFA安全协议。然后，MFA安全协议可以应用于在身份和管理(IAM)系统下被授予AWS访问权限的用户。

在将IAM用户与MFA协议相关联之前，必须下载验证码生成器应用程序并将其安装在智能手机或其他移动设备上。每个操作系统都有一些可用的应用程序，但是在这个例子中，我们在安卓上使用了Authy 2因子身份验证，这在Google Play上是免费的(图A)。

拥有生成器后，登录AWS控制台，使用服务菜单导航到IAM服务部分，如图b所示。使用左侧导航窗格选择用户。

在用户页面上，选择要配置的用户名，然后选择安全凭据选项卡(图c)。

选择适当的多功能事务机设备，然后单击继续按钮。在下一页的图D中，您将有一个选择。如果您的代码生成器可以读取二维码，请单击链接并按照移动设备上的说明进行操作。或者，单击链接显示密码并手动输入。

输入密码后，您将被要求输入移动设备上生成的下两个代码。输入这两个代码后，单击分配多功能事务处理按钮。请注意，如果在分配MFA代码之前延迟太长时间，设置可能会失败，您必须重新开始。

如果安装成功，您将收到确认通知(图E)。单击关闭按钮完成该过程。

现在，下次IAM用户登录AWS时，他们将被要求输入由您的移动设备上的应用程序生成的密码和身份验证代码。额外的安全级别将有助于保护AWS上的企业云服务不被错误的人访问。