Amazon web services 如何向AWS根帐户MFA添加更多设备

我的iPhone中已经安装了Google authenticator，我正在使用它登录我的AWS根帐户。我想添加使用我的Android手机使用MFA登录的功能，使用相应的代币生成器Android应用程序

---

是否可以添加第二个设备？具体如何添加？或者AWS根帐户MFA是否绑定到一个（虚拟）设备

您只能将一个MFA设备绑定到您的根帐户。您需要为单独的设备设置单独的IAM用户帐户

从：

Q.我可以为我的AWS帐户激活多个身份验证设备吗？ 对每个IAM用户都可以有自己的身份验证设备。但是，每个标识（IAM用户或根帐户）只能与一个身份验证设备关联

更新：虽然它没有得到官方支持，但有一个人声称他能够在两台设备上注册Google Authenticator，方法是使用相同的二维码同时注册这两台设备。虽然他没有用AWS做这件事，但值得一试

更新2:我已经开始使用for MFA而不是Google Authenticator。Authy现在支持的一个很酷的东西是所有MFA令牌的多设备。我目前有我的手机和平板电脑设置，可以使用Authy Multi Device访问我的AWS帐户

---

事实上，我曾尝试在iPhone、iPad和Android上使用来自AWS的相同秘密配置密钥，并使用Google Authenticator，但效果都很好。与@Jaap所做的相同。

这里是解决方案；

---

当AWS MFA页面显示条形码时，同时扫描来自不同设备的条形码（我用3个设备进行了尝试）。他们创建相同的代码，用相同的代码填充表单，并且它可以工作。

除了上述解决方案之外：

1） 将MFA设备连接到AWS帐户后，您无法重新显示二维码。因此，如果您需要添加另一个虚拟MFA设备，请删除现有设备，重新连接，并制作二维码（或保存密码）的屏幕截图，然后用另一个设备扫描此二维码

---

2） 二维码不会过期。我可以在初始化几周后使用我的代码。

这并不是一个新的答案，但它试图澄清并更好地解释（或至少不同地）为什么不同的虚拟设备可以被视为一个虚拟设备

目前（2020-05-07），您不能为同一用户使用两种不同的身份验证设备。（与以下多项类似：U2F usb密钥/虚拟设备/硬件设备）

但是，如果您使用相同的初始化码（QR码）对多个设备（手机/平板电脑/PC）进行初始化，则可以在多个设备上安装相同的虚拟设备应用程序

虚拟MFA设备只是TOTP算法（）的实现

每个TOTP应用程序必须使用“机密”代码（QR代码）进行初始化

因此，如果您使用不同的TOTP应用程序扫描相同的QR码，那么所有这些应用程序都可以进行身份验证（它们的行为将是一致的）

在AWS初始化时，要求您输入TOTP应用程序生成的两个连续代码。 （只需从任何应用程序中输入它们，即使用二维码初始化的应用程序。 或者如果你真的疯了。用一个应用程序创建一个代码，然后用另一个应用程序创建另一个代码。只需输入首先生成的代码即可。）

之后，所有虚拟设备都将工作，并且完全可交换

---

您甚至可以将二维码图像“归档”到安全的地方，然后添加其他虚拟设备（二维码只包含初始化TOTP应用程序所需的秘密）。它不会过期。

我已经验证了这一点，它可以正常工作。如果您将二维码保留在屏幕上并使用多台设备扫描，则所有设备上的二维码都会匹配。关于验证多设备设置，请务必注意，在第二台设备上，您需要向第一台设备的MSISDN注册（您的所有设备基本上都有一个“验证电话号码”）。这对我来说并不明显，我花了一段时间才弄明白。我也这么做了，但没有必要让所有设备同时在同一个地方——我在第二台设备上扫描了二维码，几个小时后，两台设备同步生成了相同的码。是的，我也这样做了。另请参见所选答案中的更新2，Authy也可以帮助您。我尝试过这一点，但在2台设备上的代码不同。。此外，您还需要将AWS与特定设备同步（输入两次MFA代码-连续两次）。。“所以这不起作用了。”乔。只需扫描两个应用程序上的二维码，然后仅输入其中一个应用程序中的两个连续二维码。这两个应用程序都可以工作。这两种设备上的两个代码不相同的原因是算法是TOTP（第一个T代表基于时间的），因此如果您能够在同一时间单击两个应用程序，则两个应用程序上的ssame代码将完全相同，您不必同时扫描。你只需要扫描相同的二维码。（见我的答案）