一个硬件 MFA 令牌,多个帐户
One hardware MFA token, multiple accounts
是否可以将一台硬件 MFA 设备用于多个 AWS 账户?例如。我有 80 个帐户,并希望有一个令牌来处理所有这些帐户的 MFA。拥有 80 个单独的令牌将是乏味且难以管理的。
逻辑告诉我这是不可能的,因为你需要在设置MFA时将硬件MFA设备的序列号添加到AWS。
这取决于设备的类型。
Q. Can I use my U2F security key with multiple AWS accounts?
Yes. AWS allows you to use the same U2F security key with several root and IAM users across multiple accounts.
Q. Can I use virtual, hardware, or SMS MFA with multiple AWS accounts?
No. The MFA device or mobile phone number associated to virtual, hardware, and SMS MFA is bound to an individual AWS identity (IAM user or root account). If you have a TOTP-compatible application installed on your smartphone, you can create multiple virtual MFA devices on the same smartphone. Each one of the virtual MFA devices is bound to a single identity, just like hardware MFA (Gemalto) device. If you dissociate (deactivate) the MFA device, you can then reuse it with a different AWS identity. The MFA device associated to hardware MFA cannot currently be used by more than one identity simultaneously.
AWS allows you to use the same U2F security key with several root and
IAM users across multiple accounts.
YubiKey 安全密钥(由 Yubico 提供)就是一个例子 - https://www.yubico.com/products/yubikey-hardware
目前,您可以通过三种方式在 AWS 中设置根账户。
- 虚拟 MFA 设备:这是您可以从设备上的应用商店找到并安装的验证器应用。您还可以在一个应用程序中管理多个帐户。
- U2F Security Key:U2F是由FIDO联盟主办的开放认证标准,是一种更高级的安全协议。目前只有一家名为 Yubico 的公司支持这里。 Yubico 有许多不同的密钥(称为 YubiKey),您可以插入并点击以注册或验证自己。它还支持每个密钥多个帐户。
- 其他硬件:这就是金雅拓代币发挥作用的地方。该设备有一个显示屏,可以显示您可以验证自己的代码。一个账号一个key,如果需要管理多个账号就不太方便了。
我想在这里指出的一件事是 YubiKey。虽然它是一个 U2F 设备,但它实际上可以用作虚拟 MFA 设备(抱歉,您只能选择一种方法,因为 AWS 允许您使用一种方法)。您只需下载一个名为 Yubico Authenticator 的应用程序。所有帐户(种子)都被植入密钥本身。这意味着它只显示与密钥相关的帐户,仅此而已。通过这种方式(YubiKey + Yubico Authenticator),你甚至可以设置一个账号一键,多账号一键,一账号多键,多账号多键。要将一个密钥分配给多个帐户,您只需在显示相同二维码时插入密钥,然后使用 Yubico 验证器捕捉二维码进行分配。
是否可以将一台硬件 MFA 设备用于多个 AWS 账户?例如。我有 80 个帐户,并希望有一个令牌来处理所有这些帐户的 MFA。拥有 80 个单独的令牌将是乏味且难以管理的。
逻辑告诉我这是不可能的,因为你需要在设置MFA时将硬件MFA设备的序列号添加到AWS。
这取决于设备的类型。
Q. Can I use my U2F security key with multiple AWS accounts?
Yes. AWS allows you to use the same U2F security key with several root and IAM users across multiple accounts.
Q. Can I use virtual, hardware, or SMS MFA with multiple AWS accounts?
No. The MFA device or mobile phone number associated to virtual, hardware, and SMS MFA is bound to an individual AWS identity (IAM user or root account). If you have a TOTP-compatible application installed on your smartphone, you can create multiple virtual MFA devices on the same smartphone. Each one of the virtual MFA devices is bound to a single identity, just like hardware MFA (Gemalto) device. If you dissociate (deactivate) the MFA device, you can then reuse it with a different AWS identity. The MFA device associated to hardware MFA cannot currently be used by more than one identity simultaneously.
AWS allows you to use the same U2F security key with several root and IAM users across multiple accounts.
YubiKey 安全密钥(由 Yubico 提供)就是一个例子 - https://www.yubico.com/products/yubikey-hardware
目前,您可以通过三种方式在 AWS 中设置根账户。
- 虚拟 MFA 设备:这是您可以从设备上的应用商店找到并安装的验证器应用。您还可以在一个应用程序中管理多个帐户。
- U2F Security Key:U2F是由FIDO联盟主办的开放认证标准,是一种更高级的安全协议。目前只有一家名为 Yubico 的公司支持这里。 Yubico 有许多不同的密钥(称为 YubiKey),您可以插入并点击以注册或验证自己。它还支持每个密钥多个帐户。
- 其他硬件:这就是金雅拓代币发挥作用的地方。该设备有一个显示屏,可以显示您可以验证自己的代码。一个账号一个key,如果需要管理多个账号就不太方便了。
我想在这里指出的一件事是 YubiKey。虽然它是一个 U2F 设备,但它实际上可以用作虚拟 MFA 设备(抱歉,您只能选择一种方法,因为 AWS 允许您使用一种方法)。您只需下载一个名为 Yubico Authenticator 的应用程序。所有帐户(种子)都被植入密钥本身。这意味着它只显示与密钥相关的帐户,仅此而已。通过这种方式(YubiKey + Yubico Authenticator),你甚至可以设置一个账号一键,多账号一键,一账号多键,多账号多键。要将一个密钥分配给多个帐户,您只需在显示相同二维码时插入密钥,然后使用 Yubico 验证器捕捉二维码进行分配。