Ion*_*Ion 27 amazon-web-services two-factor-authentication
我已经在我的iPhone中安装了Google身份验证器,并且我正在使用它来登录我的AWS root帐户.我想使用我的Android手机添加使用MFA登录的功能,使用相应的令牌生成器Android应用程序.
是否可以添加第二个设备以及具体如何?或AWS AWS账户MFA绑定到一个(虚拟)设备?
jsz*_*ody 30
您只能将一个MFA设备绑定到您的root帐户.您需要为单独的设备设置单独的IAM用户帐户.
来自FAQ:
问:我可以为我的AWS账户激活多个身份验证设备吗? 是.每个IAM用户都可以拥有自己的身份验证设备.但是,每个身份(IAM用户或root帐户)只能与一个身份验证设备关联.
更新:因此虽然它没有得到官方支持,但是有一个人声称他能够在两个设备上注册Google身份验证器,同时使用相同的QR码同时执行这两个设备.虽然他没有用AWS做这件事,但值得一试.
http://www.joelclermont.com/2012/06/08/using-google-authenticator-on-more-than-one-device/
更新2:我已经开始使用Authy for MFA而不是Google Authenticator.Authy现在支持的一个很酷的功能是为您的所有MFA令牌提供多设备.我目前有手机和平板电脑设置,可以使用Authy Multi Device访问我的AWS账户.
http://blog.authy.com/multi-device
这并不是一个真正的新答案,但它试图更好地(或至少以不同的方式)澄清和解释为什么不同的虚拟设备可以被视为一个虚拟设备
目前(2020-05-07)您不能为同一用户拥有两个不同的身份验证设备。(例如以下多项:U2F USB 密钥/虚拟设备/硬件设备)
但是,如果您使用相同的初始化代码(QR 代码)对所有设备进行初始化,则可以在多个设备(手机/平板电脑/PC)上安装相同的虚拟设备应用程序
虚拟MFA设备只是TOTP算法的实现(https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm)
每个 TOTP 应用程序都必须使用“秘密”代码(QR 代码)进行初始化
因此,如果您使用不同的 TOTP 应用程序扫描相同的二维码,那么所有这些应用程序都可以进行身份验证(它们的行为相同)
在 AWS 上初始化时,系统会要求您输入 TOTP 应用程序生成的两个连续代码。(只需从您使用二维码初始化的任何应用程序输入它们。或者,如果您真的很疯狂,请使用一个应用程序创建一个代码,然后使用另一个应用程序创建另一个代码。只需先输入第一个生成的代码)
之后,所有虚拟设备都可以工作并且完全可以互换。
您甚至可以将 QR 码图像“存档”在安全的地方,并在以后添加其他虚拟设备(QR 码仅包含初始化 TOTP 应用程序所需的秘密)。它不会过期。
来自 AWS Organizations文档:
如果您选择使用虚拟 MFA 应用程序,则与我们对管理帐户根用户的建议不同,对于成员帐户,您可以为多个成员帐户重复使用单个 MFA 设备。您可以通过打印并安全存储用于在虚拟 MFA 应用程序中配置帐户的 QR 代码来解决地理限制。根据您的信息安全政策,记录 QR 码的用途,并将其密封并存储在您所在时区的可访问保险箱中。然后,当需要在不同的地理位置进行访问时,可以检索 QR 码的本地副本并用于在新位置配置虚拟 MFA 应用程序。
小智 5
实际上,我尝试使用 Google Authenticator 在 iPhone、iPad 和 Android 上使用来自 AWS 的相同秘密配置密钥,它们都运行良好。与@Jaap 所做的相同。
| 归档时间: |
|
| 查看次数: |
13570 次 |
| 最近记录: |