# SEC02-BP01 使用強式登入機制
<a name="sec_identities_enforce_mechanisms"></a>

 強制執行密碼長度下限，並教育使用者避免使用常見密碼或重複使用密碼。透過軟體或硬體機制強制使用 Multi-Factor Authentication (MFA)，以提供額外的驗證保護層。例如，使用 IAM Identity Center 作為身份來源時，請進行 MFA 的「內容感知」或「永遠啟用」設定，並允許使用者註冊自己的 MFA 裝置以加速採用。使用外部身份提供者 (IdP) 時，設定您的 MFA 的 IdP。 

 **若未建立此最佳實務，暴露的風險等級：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  建立 Identify and Access Management (IAM) 政策來強制執行 MFA 登入：建立一個客戶管理的 IAM 政策，禁止所有 IAM 動作，除了允許使用者在下列頁面上假設角色、變更自己的登入資料，以及管理 MFA 裝置： [My Security Credentials (我的安全登入資料)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1)。 
+  在您的身分供應商中啟用 MFA：在您使用的身分供應商或單一登入服務中啟用 [MFA](https:/aws.amazon.com/iam/details/mfa) ，例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html)。
+  設定強式密碼政策：將強式 [密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) 設定於 IAM 和聯合身分系統中，以協助防範暴力密碼破解攻擊。 
+  [定期輪換登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)：確保工作負載的管理員會定期變更其密碼和存取金鑰 (若使用)。 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected) 
+  [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected) 
+   [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected) 
+  [安全合作夥伴解決方案：存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **相關影片：** 
+  [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4) 
+  [使用 IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E) 
+  [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)