我已经在iPhone上安装了Google身份验证器,我正在使用它登录我的AWS root帐户。我想使用我的Android手机添加使用MFA登录的功能,使用相应的令牌生成器Android应用程序。
是否可以添加第二个设备以及具体如何?或AWS AWS账户MFA绑定到一个(虚拟)设备?
答案 0 :(得分:30)
您只能将一个MFA设备绑定到您的root帐户。您需要为单独的设备设置单独的IAM用户帐户。
来自FAQ:
<强> Q值。我可以为我的AWS账户激活多个身份验证设备吗? 是。每个IAM用户都可以拥有自己的身份验证设备。但是,每个身份(IAM用户或root帐户)只能与一个身份验证设备关联。
更新:虽然它没有得到官方支持,但是有一个人声称他能够通过使用相同的QR码同时在两台设备上注册Google身份验证器。虽然他没有用AWS做这件事,但值得一试。
http://www.joelclermont.com/2012/06/08/using-google-authenticator-on-more-than-one-device/
更新2 :我已开始将Authy用于MFA而非Google身份验证器。 Authy现在支持的一个很酷的功能是为您的所有MFA令牌提供多设备。我目前有手机和平板电脑设置,可以使用Authy Multi Device访问我的AWS账户。
答案 1 :(得分:8)
这是解决方案; 当AWS MFA页面显示条形码时,扫描来自不同设备的条形码(我已尝试过3)同时。他们创建相同的代码,使用相同的代码填充表单并且它可以工作。
答案 2 :(得分:4)
我实际上尝试在使用Google身份验证器的iPhone,iPad和Android上使用AWS中的相同秘密配置密钥,它们都运行良好。和@Jaap一样。
答案 3 :(得分:1)
这并不是一个真正的新答案,但是它试图澄清和更好地解释(或至少以不同的方式解释)为什么不同的虚拟设备可以被视为一个虚拟设备
目前(2020年5月7日)您不能为同一用户拥有两个不同的身份验证设备。 (例如以下一项或多项:U2F usb密钥/虚拟设备/硬件设备)
但是,如果您使用相同的初始化代码(QR码)对所有设备(手机/平板电脑/ PC)进行初始化,则可以在多个设备(手机/平板电脑/ PC)上安装相同的虚拟设备应用程序
虚拟MFA设备只是TOTP算法(https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm)的实现
每个TOTP应用程序都必须使用“秘密”代码(QR码)进行初始化
因此,如果您使用不同的TOTP应用程序扫描相同的QR码,则所有这些应用程序都可以进行身份验证(它们的行为将相同)
在AWS上初始化时,系统会要求您输入由TOTP应用程序生成的两个连续代码。 (只需从您使用QR码初始化的任何应用中输入它们即可。 或者,如果您真的疯了。使用一个应用程序创建一个代码,然后使用另一个应用程序创建另一个代码。只需输入首先生成的代码)
之后,所有虚拟设备将正常工作并且可以互换。
您甚至可以在安全的地方“存档” QR码图像,然后再添加其他虚拟设备(QR码仅包含初始化TOTP应用程序所需的机密)。它不会过期。
答案 4 :(得分:0)
除了上述解决方案:
1)将MFA设备连接到AWS账户后,无法重新显示QR码。因此,如果您需要添加其他虚拟MFA设备,请删除现有设备,重新连接它,并制作QR码的屏幕快照(或保存密码),然后用另一台设备扫描此QR码。
2)QR码未过期。我可以在初始化几周后使用我的代码。