如何在AWS中为IAM用户设置多因素身份验证
虽然云计算服务给许多企业带来的好处已经得到了很好的证明,但要充分利用所有这些计算能力,则需要谨慎、勤勉地使用安全协议和过程。多因素身份验证是一种更直接、更有效的云服务安全协议,应该作为访问控制的一部分实现。
为Amazon Web服务(AWS)设置多因素身份验证(MFA)需要使用可信的第三方身份验证代码生成器。一般来说,身份验证代码生成器定期计算一个惟一的代码,然后在登录过程中将其输入AWS。对代码的访问,加上正确的密码输入,将验证您访问AWS的身份和授权。在授予访问权限之前,用户必须提供这两个安全因素。
本教程向您展示了如何使用移动设备创建一个简单的MFA安全协议。然后,可以将MFA安全协议应用于身份和管理(IAM)系统下授予AWS访问权限的用户。
在将IAM用户与MFA协议关联之前,必须先将身份验证代码生成器应用程序下载并安装到智能手机或其他移动设备上。每个操作系统都有一些可用的应用程序,但是在本例中,我们使用的是Android上的Authy 2因素身份验证,它在谷歌Play上是免费的(图a)。
有了生成器之后,登录到AWS控制台并使用服务菜单导航到IAM服务部分,如图b所示。使用左侧导航窗格选择用户。
在用户页面上,选择要配置的用户名,然后选择Security credentials选项卡(图C)。
选择适当的MFA设备并单击Continue按钮。在下一页图D中,您将有一个选择。如果你的代码生成器可以读取二维码,点击链接并按照移动设备上的说明操作。或者,单击链接显示密码并手动输入。
输入密码后,将要求您输入在移动设备上生成的下两个代码。输入这两个代码后,单击Assign MFA按钮。注意,如果在分配MFA代码之前延迟太久,设置可能会失败,您将不得不重新开始。
如果安装成功,您将收到确认通知(图E)。单击close按钮完成该过程。
现在,下一次该IAM用户登录到AWS时,他们将被要求在您的移动设备上输入该应用程序生成的密码和身份验证代码。额外的安全级别将有助于保护AWS上的企业云服务不被错误的人访问。