Zuweisen eines virtuellen MFA-Geräts in der AWS-Managementkonsole
Sie können ein Telefon oder ein anderes Gerät als virtuelles Multi-Factor-Authentication-(MFA)Gerät verwenden. Installieren Sie dazu eine mobile App mit RFC 6238, einem standardbasierten TOTP-(Time-based One-time Password)Algorithmus
Wenn Sie eine Umstellung auf FIDO2-Sicherheitsschlüssel für MFA in Erwägung ziehen, empfehlen wir Ihnen dringend, weiterhin ein virtuelles MFA-Gerät zu verwenden, während Sie auf die Genehmigung zum Hardware-Kauf oder auf die Ankunft Ihrer Hardware warten.
Die meisten virtuellen MFA-Apps unterstützen das Erstellen mehrerer virtueller Geräte, sodass Sie dieselbe App für mehrere AWS-Konten oder Benutzer verwenden können. Sie können bis zu acht MFA-Geräte beliebiger Kombinationen von MFA-Typen
AWS erfordert eine virtuelle MFA-App, die einen sechsstelligen OTP generiert. Eine Liste der verwendbaren virtuellen MFA-Apps finden Sie unter Multi-Factor Authentication
Themen
Erforderliche Berechtigungen
Um virtuelle MFA-Geräte für Ihren IAM-Benutzer zu verwalten, benötigen Sie die Berechtigungen von der folgenden Richtlinie: AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern die Verwaltung ihres eigenen MFA-Geräts auf der Seite „Sicherheits-Anmeldeinformationen“.
Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole)
Sie können IAM im AWS-Managementkonsole verwenden, um ein virtuelles MFA-Gerät für einen IAM-Benutzer in Ihrem Konto zu aktivieren und zu verwalten. Sie können Ihren IAM-Ressourcen, einschließlich virtueller MFA-Geräte, Tags hinzufügen, um den Zugriff auf diese zu identifizieren, zu organisieren und zu kontrollieren. Sie können virtuelle MFA-Geräte nur markieren, wenn Sie die AWS CLI- oder AWS-API verwenden. Informationen zum Aktivieren und Verwalten eines MFA-Geräts mithilfe der AWS CLI oder AWS-API finden Sie unter Zuweisen von MFA-Geräten in der AWS CLI oder AWS API. Weitere Informationen über das Markieren von IAM-Ressourcen mit Tags finden Sie unter Tags für AWS Identity and Access Management-Ressourcen.
Anmerkung
Sie müssen über physischen Zugriff auf die Hardware verfügen, die als Host für das virtuelle MFA-Gerät des Benutzers dient, um MFA konfigurieren zu können. Beispielsweise können Sie MFA für einen Benutzer konfigurieren, der ein virtuelles MFA-Gerät verwendet, das auf einem Smartphone ausgeführt wird. In diesem Fall müssen Sie das Smartphone zur Verfügung haben, um den Assistenten zu beenden. Aus diesem Grund kann es sinnvoll sein, die Konfiguration und Verwaltung der virtuellen MFA-Geräte von den Benutzern selbst vornehmen zu lassen. In diesem Fall müssen Sie den Benutzern die Berechtigungen zur Ausführung der erforderlichen IAM-Aktionen erteilen. Weitere Informationen und ein Beispiel für eine IAM-Richtlinie, die diese Berechtigungen gewährt, finden Sie unter IAM-Tutorial: Zulassen, dass Ihre Benutzer ihre eigenen Anmeldeinformationen und MFA-Einstellungen konfigurieren können und Beispielrichtlinie AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern die Verwaltung ihres eigenen MFA-Geräts auf der Seite „Sicherheits-Anmeldeinformationen“.
Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole)
Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Klicken Sie im Navigationsbereich auf Users (Benutzer).
-
Wählen Sie in der Users list (Liste der Benutzer) den Namen des IAM-Benutzer aus.
-
Wechseln Sie zur Registerkarte Security Credentials. Wählen Sie im Abschnitt Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA)) die Option Assign MFA device (MFA-Gerät zuweisen).
-
Geben Sie im Assistenten einen Device name (Gerätenamen) ein, wählen Sie Authenticator app (Authenticator-App) und dann Next (Weiter).
IAM generiert Konfigurationsinformationen für das virtuelle MFA-Gerät und zeigt diese einschließlich eines QR-Codes an. Dieser Code ist eine grafische Darstellung des "geheimen Konfigurationsschlüssels", der für die manuelle Eingabe auf Geräte zur Verfügung steht, die keine QR-Codes unterstützen.
-
Öffnen Sie Ihre virtuelle MFA-App. Eine Liste der Anwendungen, die Sie zum Hosten von virtuellen MFA-Geräten verwenden können, finden Sie unter Multi-Factor Authentication
. Wenn die virtuelle MFA-App mehrere virtuelle MFA-Geräte oder -Konten unterstützt, wählen Sie die Option zum Erstellen eines neuen virtuellen MFA-Geräts oder -Kontos.
-
Stellen Sie fest, ob die MFA-App QR-Codes unterstützt, und führen Sie dann einen der folgenden Schritte aus:
-
Wählen Sie im Assistenten Show QR code (QR-Code anzeigen) und verwenden Sie dann die App, um den QR-Code zu scannen. Dies kann ein Kamerasymbol oder die Option Code scannen sein, bei der der Code mit der Kamera des Geräts gescannt wird.
-
Wählen Sie im Assistenten die Option Show secret key (Geheimen Schlüssel anzeigen) aus und geben Sie dann den geheimen Schlüssel in Ihre MFA-App ein.
Wenn Sie fertig sind, beginnt das virtuelle MFA-Gerät, einmalige Passwörter zu generieren.
-
-
Geben Sie auf der Seite Set up device (Gerät einrichten) im Feld MFA code 1 (MFA-Code 1) das aktuell auf dem virtuellen MFA-Gerät angezeigte Einmalpasswort ein. Warten Sie bis zu 30 Sekunden, bis das Gerät ein neues einmaliges Passwort generiert. Geben Sie dann das zweite Einmalpasswort in das Feld MFA Code 2 ein. Wählen Sie Add MFA (MFA hinzufügen).
Wichtig
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das Gerät neu synchronisieren.
Das virtuelle MFA-Gerät ist jetzt für die Verwendung mit bereit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS-Managementkonsole finden Sie unter Anmeldung mit MFA.
Anmerkung
Nicht zugewiesene virtuelle MFA-Geräte in Ihrem AWS-Konto werden gelöscht, wenn Sie neue virtuelle MFA-Geräte entweder über die AWS-Managementkonsole oder während des Anmeldevorgangs hinzufügen. Nicht zugewiesene virtuelle MFA-Geräte sind Geräte in Ihrem Konto, die jedoch nicht von Root-Benutzern oder IAM-Benutzern für den Anmeldevorgang genutzt werden. Sie werden gelöscht, sodass Ihrem Konto neue virtuelle MFA-Geräte hinzugefügt werden können. Außerdem können Sie Gerätenamen wiederverwenden.
-
Um nicht zugewiesene virtuelle MFA-Geräte in Ihrem Konto anzuzeigen, können Sie entweder den AWS CLI-Befehl list-virtual-mfa-devices
oder den API-Aufruf verwenden. -
Um ein virtuelles MFA-Gerät zu deaktivieren, können Sie entweder den AWS CLI-Befehl deactivate-mfa-device
oder den API-Aufruf verwenden. Die Zuweisung des Geräts wird aufgehoben. -
Um Ihrem Root-Benutzer oder Ihren IAM-Benutzern in Ihrem AWS-Konto ein nicht zugewiesenes virtuelles MFA-Gerät zuzuordnen, benötigen Sie den vom Gerät generierten Authentifizierungscode zusammen mit dem AWS CLI-Befehl enable-mfa-device
oder den API-Aufruf.
Ersetzen eines virtuellen MFA-Geräts
Ihre Root-Benutzer des AWS-Kontos und IAM-Benutzer können bis zu acht MFA-Geräte beliebiger Kombinationen von MFA-Typen registrieren. Wenn der Benutzer ein Gerät verliert oder es aus irgendeinem Grund ersetzen muss, deaktivieren Sie das alte Gerät. Anschließend können Sie das neue Gerät für den Benutzer hinzufügen.
-
Um ein gegenwärtig mit einem anderen IAM-Benutzer verknüpftes Gerät zu deaktivieren, siehe Deaktivieren eines MFA-Geräts.
-
Um ein virtuelles MFA-Ersatzgerät für einen anderen IAM-Benutzer hinzuzufügen, befolgen Sie die Anleitung Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole) oben.
-
Um ein virtuelles MFA-Ersatzgerät für Root-Benutzer des AWS-Kontos hinzuzufügen, befolgen Sie die Schritte im Verfahren Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole).
