我想要透過實作多重要素驗證 (MFA) 來提高 Amazon Cognito 使用者和使用者集區的安全。要怎麼做?
簡短描述
Amazon Cognito 的 MFA 設定可以為使用者和使用者集區設定為關閉、選擇性或必要。
如果 MFA 為關閉,則在登入期間不會提示使用者進行 MFA 挑戰。如果 MFA 為選擇性,則會在使用者層級新增 MFA。只有已設定 MFA 的使用者才會在登入期間收到 MFA 挑戰的提示。如果 MFA 為必要,則在登入期間會提示每位使用者進行 MFA 挑戰。
SMS 文字訊息和以時間為基礎的一次性密碼 (TOTP) 都是 Amazon Cognito 使用者和使用者集區的第二個身分驗證要素選項。
解決方案
1. 為您的 Amazon Cognito 使用者集區設定 MFA。
**重要:**使用者集區的 MFA 設定可以變更驗證流程。如需詳細資訊,請參閱使用者集區驗證流程。
2. 為 Amazon Cognito 使用者設定第二個身分驗證要素。
若要將 SMS 文字訊息設定為使用者的第二個要素:
若要將 TOTP 設定為使用者的第二個要素:
**注意:**您可以使用 AWS Command Line Interface (AWS CLI) 建立 TOTP 軟體權杖 MFA 的關聯,然後將 TOTP 設定為第二個身分驗證要素。如需詳細資訊,請參閱如何為 Amazon Cognito 使用者集區啟動 TOTP MFA?