我控制多个 AWS 账户。我想使用 MFA 进行根登录。
我有一个来自亚马逊的金雅拓硬件密钥卡(文档) 在其中一个上为根账户注册了 MFA。
我尝试使用同一个密钥卡将 MFA 添加到第二个帐户,但收到消息“ The token serial number was not found.”。
有人可以确认或否认是否可以为多个 AWS 账户重复使用同一个 MFA 密钥吗?
我在亚马逊的文档中找不到有关此情况的任何信息,错误消息也含糊不清。从加密角度来看,我认为它应该可以正常工作,因为它是基于时间的令牌,而不是 OTP 链。
答案1
您的逻辑似乎合理,但 AWS 不支持这一点。
问:我可以将我的身份验证设备用于多个 AWS 账户吗?
否。身份验证设备或手机号码与个人 AWS 身份(IAM 用户或根账户)绑定。如果您有拓扑拓扑图兼容应用程序安装在您的智能手机上,您可以在同一部智能手机上创建多个虚拟 MFA 设备。每个虚拟 MFA 设备都与一个身份绑定,就像硬件设备一样。如果您取消关联(停用)身份验证设备,则可以将其重新用于不同的 AWS 身份。身份验证设备不能同时由多个身份使用。
https://aws.amazon.com/iam/faqs/
他们的政策的一个可能理由可以解释为这个答案是“在多个服务器之间共享相同的 TOTP 是否会降低安全性?”。