AWS IAM 二次验证怎么配置?根账号与子账号的 MFA 绑定教程

📅 2026/7/14 5:14:00
AWS IAM 二次验证怎么配置?根账号与子账号的 MFA 绑定教程
#AWS 是全球最大的云服务商也是被攻击最频繁的目标之一。根账号一旦被盗攻击者可以删除所有 EC2 实例、清空 S3 存储桶、用你的账号开 GPU 实例挖矿——几分钟内产生天价账单。AWS 的安全最佳实践第一条几乎永远是这句话给根账号开 MFA然后锁起来日常操作用子账号。为什么要给根账号和子账号分别开 MFA根账号是你注册 AWS 时的那个邮箱拥有最高权限。AWS 的建议是根账号开 MFA 硬件密钥如 YubiKey然后用 IAM 创建一个管理员权限的子账号日常操作全用子账号。根账号密码锁在保险柜里只在紧急情况下使用。子账号也需要开 MFA。根据 Verizon 的年度数据泄露报告超过 80% 的黑客入侵事件涉及凭证泄露或弱密码。子账号的密码或 AccessKey 一旦被泄露MFA 是最后一道防线。IAM 用户子账号有两种绑定方式管理员辅助绑定管理员在控制台为子账号生成二维码以及子账号自行绑定。以下为自行绑定路径。根账号 MFA 绑定登录 AWS 控制台aws.amazon.com→ 右上角账号名 → Security credentials找到 Multi-factor authenticationMFA→ Assign MFA device选择 Virtual MFA device → 页面生成二维码用「二次验证码Free2FA」小程序或 TOTP 验证器扫码 → 连续输入两个 6 位验证码间隔 30 秒确认时间同步绑定完成AWS 要求连续两次验证码——所有云厂商的标准流程不是 bug。IAM 子账号 MFA 绑定子账号用户登录 AWS 控制台 → 右上角账号名 → Security credentials找到 MFA → Assign MFA device → Virtual MFA device → 扫码输入两次验证码 → 绑定完成如果子账号进入安全页面后看不到 MFA 选项说明管理员没有授予该子账号自行管理 MFA 的权限。需要管理员在 IAM 策略中开放相应的权限。强制 MFA 的 IAM 策略管理员可以创建 IAM 策略禁止没有 MFA 的用户执行任何操作{Version:2012-10-17,Statement:[{Effect:Deny,Action:*,Resource:*,Condition:{BoolIfExists:{aws:MultiFactorAuthPresent:false}}}]}建议在测试账号上验证策略生效后再挂到正式环境的用户组上。AWS MFA 的坑和注意事项根账号 MFA 丢了怎么办。联系 AWS Support需要电话验证和身份证明。处理可能需要几个工作日。建议根账号至少绑两个 MFA 设备一个虚拟 MFA 一个硬件密钥互为备份。AccessKey 调用 API 不经过 MFA。跟阿里云一样MFA 保护的是控制台登录不保护 AccessKey SecretKey 的 API 调用。所以 AccessKey 必须遵循最小权限原则且定期轮换。多账号管理的建议。如果你通过 AWS Organizations 管理多个账号建议使用 AWS SSO / IAM Identity Center 进行统一身份管理和 MFA 验证。对于日常运维的 TOTP 验证微信小程序「二次验证码Free2FA」支持多账号统一绑定——AWS、阿里云、腾讯云、华为云的 MFA 全在一个界面换手机一键全恢复。