如何将更多设备添加到 AWS 根账户 MFA

Posted 2023-02-25

【中文标题】如何将更多设备添加到 AWS 根账户 MFA

【英文标题】：How to add more devices to AWS root account MFA

【发布时间】：2013-11-12 11:11:31

【问题描述】：

我已经在我的 iPhone 中安装了 Google 身份验证器，并且我正在使用它来登录我的 AWS 根帐户。我还想使用相应的令牌生成器 android 应用程序添加使用我的 Android 手机使用 MFA 登录的功能。

是否可以添加第二个设备？具体如何？还是 AWS 根账户 MFA 绑定到一个（虚拟）设备？

【参考方案1】：

您只能将一台 MFA 设备绑定到您的 root 帐户。您需要为单独的设备设置单独的 IAM 用户帐户。

来自FAQ：

问。我可以为我的 AWS 账户启用多个身份验证设备吗？ 是的。每个 IAM 用户都可以拥有自己的身份验证设备。但是，每个身份（IAM 用户或根账户）只能与一个身份验证设备关联。

更新：因此，虽然它没有得到官方支持，但有人声称他能够在两台设备上同时使用相同的 QR 码注册 Google Authenticator。诚然，他没有使用 AWS 进行此操作，但值得一试。

https://www.quora.com/Can-Google-Authenticator-be-used-on-multiple-devices

更新 2：我已经开始将 Authy 用于 MFA 而不是 Google Authenticator。 Authy 现在支持的一项很酷的事情是用于所有 MFA 令牌的多设备。我目前的手机和平板电脑设置可以使用 Authy Multi Device 访问我的 AWS 账户。

http://blog.authy.com/multi-device

【讨论】：

我已经验证过了，它有效。如果您将二维码保留在屏幕上并使用多台设备进行扫描，则所有设备上的二维码都会匹配。

关于 Authy 多设备设置，请务必注意，在第二台设备上，您需要在第一台设备的 MSISDN 上注册（您的所有设备基本上都有一个“Authy 电话号码” )。这对我来说并不明显，我花了一段时间才弄清楚。

我也这样做了，但没有必要同时将所有设备放在同一个地方 - 几个小时后，我在第二台设备上扫描了二维码，两个设备然后同步生成相同的代码。

【参考方案2】：

这是解决方案； 当 AWS MFA 页面显示条码时，同时扫描来自不同设备（我试过 3 个）的条码。他们创建相同的代码，用相同的代码填写表格并且它可以工作。

【讨论】：

我试过了，但在 2 台设备上的代码不一样。您还需要将 AWS 与特定设备同步（输入两次 MFA 代码 - 2 个连续的）。所以这不起作用。

@Joe。只需扫描两个应用程序上的二维码，然后从其中一个应用程序中输入两个连续的应用程序。这两个应用程序都可以工作。两个代码在两个设备上不相同的原因是算法是 TOTP（第一个 T 代表基于时间）所以如果你能够同时点击两个应用程序，你两个应用程序的代码完全相同，

您不必同时扫描。您只需扫描相同的二维码。 （看我的回答）

【参考方案3】：

这并不是一个真正的新答案，但它试图澄清并更好地解释（或至少不同地）为什么可以将不同的虚拟设备视为一个虚拟设备

目前 (2020-05-07)，您不能为同一用户拥有两个不同的身份验证设备。 （例如以下多个：U2F USB 密钥/虚拟设备/硬件设备）

但是，如果您使用相同的初始化码（QR 码）将它们全部初始化，您可以在多个设备（手机/平板电脑/PC）上安装相同的虚拟设备应用程序

Virtual MFA 设备只是 TOTP 算法的实现（https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm）

每个 TOTP 应用程序都必须使用“秘密”代码（二维码）进行初始化

因此，如果您使用不同的 TOTP 应用扫描相同的 QR 码，那么所有这些应用都可以进行身份​​验证（它们的行为相同）

在 AWS 进行初始化时，系统会要求您输入 TOTP 应用程序生成的两个连续代码。 （只需从您使用 QR 码初始化的任何应用程序中输入它们。 或者，如果你真的疯了。用一个应用程序创建一个代码，然后用另一个应用程序创建另一个代码。只需输入最先生成的代码）

之后所有的虚拟设备都可以工作并且完全可以互换。

您甚至可以将 QR 码图像“存档”在安全的地方，稍后再添加其他虚拟设备（QR 码仅包含初始化 TOTP 应用程序所需的秘密）。它不会过期。

来自 AWS 组织documentation：

如果您选择使用虚拟 MFA 应用程序，那么与我们的 推荐给主账户根用户，给会员 您可以为多个成员重复使用单个 MFA 设备的帐户 帐户。您可以通过打印和 将用于配置帐户的二维码安全地存储在 虚拟 MFA 应用程序。记录二维码的用途，并盖章并 将其存放在您经营所在时区的可访问保险箱中， 根据您的信息安全政策。然后，当访问是 需要在不同的地理位置，QR 的本地副本 可以检索代码并用于在 新位置。

【参考方案4】：

我实际上尝试在 iPhone、iPad 和使用 Google Authenticator 的 Android 上使用来自 AWS 的相同秘密配置密钥，它们都运行良好。 @Jaap 所做的也是如此。

【讨论】：

是的，我也这样做了。另请参阅所选答案中的更新 2，Authy 也可以为您提供帮助。

【参考方案5】：

除了上面的解决方案：

1) 将 MFA 设备附加到 AWS 账户后，您无法重新显示 QR 码。因此，如果您需要添加另一个虚拟 MFA 设备，请删除现有设备，重新连接它，然后将二维码截屏（或保存密码），然后用其他设备扫描此二维码。

2) 二维码不会过期。我可以在初始化几周后使用我的代码。