是否可以将一个硬件MFA设备与多个AWS账户一起使用?例如。我有80个帐户,并希望有一个令牌来处理所有这些帐户的MFA。拥有80个单独的令牌将是乏味且难以管理的。
Logic告诉我,这是不可能的,因为您需要在设置MFA时向AWS添加序列号的硬件MFA设备。
答案 0 :(得分:1)
这取决于设备的类型。
Q值。我可以将我的U2F安全密钥用于多个AWS账户吗?
是。 AWS允许您对多个帐户中的多个root用户和IAM用户使用相同的U2F安全密钥。
Q值。我可以将虚拟,硬件或SMS MFA用于多个AWS账户吗?
没有。与虚拟,硬件和SMS MFA关联的MFA设备或移动电话号码绑定到单个AWS身份(IAM用户或root帐户)。如果智能手机上安装了与TOTP兼容的应用程序,则可以在同一智能手机上创建多个虚拟MFA设备。每个虚拟MFA设备都绑定到一个标识,就像硬件MFA(金雅拓)设备一样。如果您分离(停用)MFA设备,则可以使用不同的AWS身份重用它。与硬件MFA关联的MFA设备当前不能同时由多个标识使用。
答案 1 :(得分:1)
AWS允许您将相同的U2F安全密钥与多个root和 跨多个帐户的IAM用户。
YubiKey安全密钥(由Yubico提供)是一个示例-https://www.yubico.com/products/yubikey-hardware
答案 2 :(得分:0)
是的,可以使用所有与Fido兼容的硬件向多个帐户注册,并且每次注册都会创建一个唯一的密钥(这也是反网络钓鱼解决方案的一部分)。
有许多FIDO兼容密钥提供商可以满足您的要求,并且密钥本身具有多种功能和外形(例如Fido Keys)。
答案 3 :(得分:0)
当前,有三种方法可让您在AWS中设置根帐户。
我想在这里指出的一件事是YubiKey。尽管它是U2F设备,但实际上可以用作虚拟MFA设备(很抱歉,您只能选择一种方法,因为AWS允许您使用一种方法)。您只需下载一个名为Yubico Authenticator的应用程序。所有帐户(种子)都植入密钥本身。这意味着它仅显示与密钥相关的帐户,而不再显示。通过这种方式(YubiKey + Yubico Authenticator),您甚至可以为一个帐户设置一个键,为多个帐户设置一个键,为一个帐户设置多个键,并为多个帐户设置多个键。要将一个密钥分配给多个帐户,您只需在显示相同QR码时插入密钥,然后使用Yubico Authenticator捕捉QR码即可进行分配。