AWS 如何开启 2FA(两步验证)
AWS 账户被入侵不只是泄露数据——还会烧掉真金白银。AWS 已对管理账户的根用户强制要求 MFA,而「虚拟 MFA 设备」就是标准 TOTP:任何验证器应用都能用,包括 2FAA。
快捷路径: AWS 控制台 → 右上角账户菜单 → Security credentials → Assign MFA device
AWS 2FA 设置步骤
- 1
打开 Security credentials
登录 AWS 控制台,点击右上角账户名,选择「Security credentials」。(IAM 用户:IAM → Users → 选择用户 → 「Security credentials」标签。)
- 2
分配 MFA 设备
在「Multi-factor authentication (MFA)」部分点击「Assign MFA device」,命名设备并选择「Authenticator app」。
- 3
用 2FAA 扫描二维码
AWS 显示二维码(「Show QR code」)和密钥。打开 2FAA 扫描——6 位 AWS 验证码开始滚动。
- 4
输入两个连续验证码
AWS 要求输入两个连续的 MFA 验证码以确认同步:把 2FAA 当前验证码填入第一格,等约 30 秒刷新后把下一个验证码填入第二格。
- 5
根用户和每个 IAM 用户分别设置
MFA 按身份生效。先保护根账户(AWS 强制要求),再为各 IAM 用户分配设备——每个都有自己的二维码和独立的 2FAA 条目。
用 2FAA 生成 AWS 的 2FA 验证码
无需单独安装验证器 App。2FAA 是免费的浏览器端 TOTP 工具——密钥不离开你的设备,作为 PWA 可离线使用。同一个密钥也可以同时添加到 Google Authenticator 或 Authy 做冗余备份。
常见问题
为什么 AWS 要输两个连续验证码?
为了校验你的验证器时钟与 AWS 同步。连续输入两个验证码证明设备生成的是正确序列,而不是碰巧对上一个。
根用户 MFA 现在真的是强制的吗?
是——2024 年起 AWS 逐步强制根用户 MFA,从 AWS Organizations 的管理账户开始,扩展到独立账户。别等强制执行邮件才动手。
AWS CLI 怎么配合 MFA 用?
执行 aws sts get-session-token --serial-number <mfa-arn> --token-code <2FAA 验证码> 获取临时凭证,或在 profile 里配置 mfa_serial。AI 自动化场景可用 2FAA 的 MCP 服务按需提供验证码。
一个 AWS 用户能绑几个 MFA 设备?
最多 8 个(含根用户)。注册第二个设备——比如浏览器里的 2FAA 加一把硬件密钥——可避免单点丢失。