本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理 AWS 构建者 ID 多因素身份验证 (MFA)
<a name="mfa-builder-id"></a>

多重身份验证 (MFA) 是一种用于增强安全性的简单而有效的机制。第一个因素（密码）是您记住的秘密，也称为知识因素。其他因素可以是拥有因素（您拥有的东西，例如安全密钥）或固有因素（您与生俱来的东西，例如生物识别扫描）。我们强烈建议您配置 MFA，以便为 AWS 构建者 ID增加额外一层保护。

您可以注册内置身份验证器，也可以注册保存在物理安全位置的安全密钥。如果您无法使用内置身份验证器，则可以使用已注册的安全密钥。对于身份验证器应用程序，您也在这些应用中启用云备份功能或同步功能。这可有助于避免在 MFA 设备丢失或损坏的情况下，失去对配置文件的访问权限。

## 关键点
<a name="mfa-builder-id_key-points"></a>
+ 建议注册多个 MFA 设备。如果您失去了对所有已注册 MFA 设备的访问权限，您将无法恢复您的 AWS 构建者 ID。
+ 我们建议您定期检查已注册的 MFA 设备，确保它们处于最新状态且能正常运行。此外，不使用时，应将这些装置存放在物理安全位置。
+ 若您是通过**继续使用 Google**创建的账户，那么您可以通过您的 Google 账户启用多重身份验证。有关详细信息，请参阅[开启两步验证](https://support.google.com/accounts/answer/185839)。
+ 如果您使用 “**继续使用 Apple” 创建帐户，则您的 Apple** 帐户中可能已经启用了多重身份验证。如果没有，有关如何启用它的详细信息，请参阅 [Apple Account 的双重身份验证](https://support.apple.com/en-us/102660)。
+ 如果您使用 “**继续” 创建了账户 GitHub，**则可以通过您的 GitHub账户启用多重身份验证。有关详细信息，请参阅[配置 (GitHub) 双因素身份验证](https://docs.github.com/en/authentication/securing-your-account-with-two-factor-authentication-2fa/configuring-two-factor-authentication)。
+ 如果您使用 “**继续使用亚马逊**” 创建账户，则可以通过您的亚马逊账户启用多重身份验证。有关详细信息，请参阅[什么是两步验证](https://www.amazon.com/gp/help/customer/display.html?nodeId=G3PWZPU52FKN7PW4)？ 。

## 可用的 MFA 类型适用于 AWS 构建者 ID
<a name="mfa-devices-aws_builder_id"></a>

AWS 构建者 ID 支持以下多因素身份验证 (MFA) 设备类型。

### FIDO2 身份验证器
<a name="fido-auth-aws_builder_id"></a>

[FIDO2](https://fidoalliance.org/fido2/)是一个包括 CTAP2 [WebAuthn](https://www.w3.org/TR/webauthn-2/)和基于公钥加密的标准。FIDO 凭证具有防网络钓鱼功能，因为它们是创建凭证的网站所独有的，例如 AWS。

AWS 支持 FIDO 身份验证器的两种最常见外形规格：内置身份验证器和安全密钥。有关最常见的 FIDO 身份验证器类型的更多信息，请参阅下文。

**Topics**
+ [内置身份验证器](#built-in-auth-aws_builder_id)
+ [安全密钥](#security-keys-aws_builder_id)
+ [密码管理器、密钥提供程序和其他 FIDO 身份验证器](#other-mfa-aws_builder_id)

#### 内置身份验证器
<a name="built-in-auth-aws_builder_id"></a>

某些设备内置了身份验证器，例如开启的 TouchID MacBook 或兼容 Windows Hello 的摄像头。如果您的设备兼容 FIDO 协议（包括） WebAuthn，则可以使用指纹或面部作为第二要素。有关更多信息，请参见 [FIDO 身份验证](https://fidoalliance.org/fido2/)。

#### 安全密钥
<a name="security-keys-aws_builder_id"></a>

您可以购买 FIDO2兼容的外部 USB、BLE 或 NFC 连接的安全密钥。当系统提示你输入 MFA 设备时，点击按键的传感器。 YubiKey 或者飞天制造兼容的设备。有关所有兼容安全密钥的列表，请参阅 [FIDO 认证产品](https://fidoalliance.org/certification/fido-certified-products/ )。

#### 密码管理器、密钥提供程序和其他 FIDO 身份验证器
<a name="other-mfa-aws_builder_id"></a>

多个第三方提供商支持移动应用程序中的 FIDO 身份验证，例如密码管理器中的功能、带有 FIDO 模式的智能卡以及其他外形规格。这些兼容 FIDO 的设备可以与 IAM Identity Center 配合使用，但我们建议您在为 MFA 启用此选项之前亲自测试 FIDO 身份验证器。

**注意**  
有些 FIDO 身份验证器可以创建可发现的 FIDO 凭证，称为密钥。密钥可以绑定到创建密钥的设备，也可以同步并备份到云端。例如，您可以在支持的 Macbook 上使用 Apple Touch ID 注册密钥，然后按照登录时屏幕上的提示使用 Google Chrome，在 iCloud 中使用密钥从 Windows 笔记本电脑登录网站。有关哪些装置支持可同步密钥以及当前密钥在操作系统和浏览器之间的互操作性的更多信息，请参阅 [passkeys.dev](https://passkeys.dev/) 上的[装置支持](https://passkeys.dev/device-support/)（此资源由 FIDO 联盟和万维网联盟 (W3C) 维护）。

### 身份验证器应用程序
<a name="auth-apps-aws_builder_id"></a>

身份验证器应用程序是基于一次性密码（OTP）的第三方身份验证器。您可将安装在移动装置或平板电脑上的身份验证器应用程序用作授权的 MFA 设备。第三方身份验证器应用程序必须符合 RFC 6238，这是一种标准的基于时间的一次性密码（TOTP）算法，且能够生成六位数身份验证码。

提示进行多重身份验证时，务必在显示的输入框中输入来自身份验证器应用程序的有效代码。分配给用户的每台 MFA 设备必须是唯一的。可为任意给定用户注册两个身份验证器应用程序。

您可从以下常见的第三方身份验证器应用程序中进行选择。但是，任何符合 TOTP 的应用程序都可使用 MFA AWS 构建者 ID 。


| 操作系统 | 经过测试的身份验证器应用程序 | 
| --- | --- | 
| Android | [1Password](https://play.google.com/store/apps/details?id=com.onepassword.android)、[Authy](https://play.google.com/store/apps/details?id=com.authy.authy)、[Duo Mobile](https://play.google.com/store/apps/details?id=com.duosecurity.duomobile)、[Microsoft 身份验证器](https://play.google.com/store/apps/details?id=com.azure.authenticator)、[Google 身份验证器](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) | 
| iOS | [1Password](https://apps.apple.com/us/app/1password-password-manager/id1511601750)、[Authy](https://apps.apple.com/us/app/authy/id494168017)、[Duo Mobile](https://apps.apple.com/us/app/duo-mobile/id422663827)、[Microsoft 身份验证器](https://apps.apple.com/us/app/microsoft-authenticator/id983156458)、[Google 身份验证器](https://apps.apple.com/us/app/google-authenticator/id388497605) | 

## 注册您的 AWS 构建者 ID MFA 设备
<a name="register-mfa-aws_builder_id"></a>

**注意**  
注册 MFA 后，退出登录，然后在同一装置上重新登录，系统可能不会提示您在受信任的装置上进行 MFA。

**使用身份验证器应用程序注册 MFA 设备**

1. 登录您的 AWS 构建者 ID 个人资料，网址为[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。

1. 选择**安全性**。

1. 在 **Security**（安全性）页面上，选择 **Register device**（注册装置）。

1. 在 **Register MFA device**（注册 MFA 设备）页面上，选择 **Authenticator app**（身份验证器应用程序）。

1. AWS 构建者 ID 操作并显示配置信息，包括二维码图形。此图形是秘密配置密钥的表示形式，适用于不支持 QR 代码的身份验证器应用程序上的手动输入。

1. 打开身份验证器应用程序。如需了解应用程序列表，请参阅 [身份验证器应用程序](#auth-apps-aws_builder_id)。

   如果身份验证器应用程序支持多个 MFA 设备或账户，请选择相应的选项以创建新的 MFA 设备或账户。

1. 确定 MFA 应用程序是否支持 QR 代码，然后在 **Set up your authenticator app**（设置身份验证器应用程序）页面上执行以下操作之一：

   1. 选择 **Show QR code**（显示 QR 代码），然后使用该应用程序扫描 QR 代码。例如，您可选择摄像头图标或选择类似于 **Scan code**（扫描代码）的选项，然后使用装置的摄像头扫描此代码。

   1. 选择 **Show secret key**（显示密钥），然后将该密钥输入到 MFA 应用程序中。

   完成输入后，您的身份验证器应用程序将生成并显示一次性密码。

1. 在 **Authenticator code**（身份验证器代码）框中，输入当前显示在身份验证器应用程序中的一次性密码。选择**分配 MFA**。
**重要**  
生成代码之后立即提交您的请求。如果您生成代码后等待时间过长才提交请求，则 MFA 设备已成功与您的关联 AWS 构建者 ID，但是 MFA 设备不同步。这是因为基于时间的一次性密码（TOTP）很快会过期。这种情况下，您可以重新同步装置。有关更多信息，请参阅 [尝试使用身份验证器应用程序注册或登录时，收到“An unexpected error has occurred”（出现意外错误）消息](troubleshooting-builder-id-issues.md#syncing-mfa-aws_builder_id)。

1. 要在中为您的设备起一个友好的名称 AWS 构建者 ID，请选择 “**重命名**”。此名称可帮助您区分此装置和您注册的其他装置。

MFA 设备现已准备就绪，可以与一起使用。 AWS 构建者 ID

## 将安全密钥注册为 AWS 构建者 ID MFA 设备
<a name="register-key-aws_builder_id"></a>

**使用安全密钥注册 MFA 设备**

1. 登录您的 AWS 构建者 ID 个人资料，网址为[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。

1. 选择**安全性**。

1. 在 **Security**（安全性）页面上，选择 **Register device**（注册装置）。

1. 在 **Register MFA device**（注册 MFA 设备）页面上，选择 **Security key**（安全密钥）。

1. 确保已启用安全密钥。如果您使用单独的物理安全密钥，请将其连接到您的计算机。

1. 按照屏幕上的说明进行操作。您的体验取决于您的操作系统和浏览器。

1. 要在中为您的设备起一个友好的名称 AWS 构建者 ID，请选择 “**重命名**”。此名称可帮助您区分此装置和您注册的其他装置。

MFA 设备现已准备就绪，可以与一起使用。 AWS 构建者 ID

## 重命名您的 AWS 构建者 ID MFA 设备
<a name="rename-mfa-aws_builder_id"></a>

**重命名 MFA 设备**

1. 登录您的 AWS 构建者 ID 个人资料，网址为[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。

1. 选择**安全性**。位于此页面后，可看到 **Rename**（重命名）显示为灰色。

1. 选择要更改的 MFA 设备。这将允许您选择 **Rename**（重命名）。随即显示对话框。

1. 在打开的提示中，在 **MFA device name**（MFA 设备名称）中输入新名称，然后选择 **Rename**（重命名）。重命名装置将显示在 **Multi-factor authentication (MFA) devices**（多重身份验证（MFA）设备）下。

## 删除 MFA 设备
<a name="delete-mfa-aws_builder_id"></a>

建议保留两个或多个活动 MFA 设备。移除装置之前，请参阅 [注册您的 AWS 构建者 ID MFA 设备](#register-mfa-aws_builder_id) 以注册替代 MFA 设备。要禁用您的多重身份验证 AWS 构建者 ID，请从您的个人资料中删除所有已注册的 MFA 设备。

**删除 MFA 设备**

1. 登录您的 AWS 构建者 ID 个人资料，网址为[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。

1. 选择**安全性**。

1. 选择要更改的 MFA 设备，然后选择 **Delete**（删除）。

1. 在 **Delete MFA device?**（要删除 MFA 设备吗？）模式窗口中，按照说明删除装置。

1. 选择**删除**。

已删除设备将不再显示在 **Multi-factor authentication (MFA) devices**（多重身份验证（MFA）设备）下。