AWS IAM 现已对所有账户类型的根用户强制启用 MFA

发布于: 2025年6月17日

今天，AWS Identity and Access Management (IAM) 宣布：全面推行多重身份验证 (MFA) 要求，将强制 MFA 扩展至所有账户类型的根用户，包括成员账户。此次 MFA 强制执行标志着 AWS 在“通过设计实现安全”原则方面迈出了重要一步，显著提升了客户的默认安全基线，也是在既有安全强化措施基础上的又一关键进展。我们的安全强化之路始于 2024 年 5 月，率先对 AWS Organizations 管理账户的根用户启用 MFA 要求；2024 年 6 月进一步扩展至独立账户的根用户；2024 年 11 月推出针对 AWS Organizations 的集中式根访问权限管理功能。

IAM 可帮助您安全地管理身份并控制对 AWS 服务和资源的访问权限。MFA 是 IAM 中的一种安全最佳实践，除了用户名和密码登录凭证外，还需要第二重身份验证。MFA 不收取任何额外费用，并可防止超过 99% 的与密码相关的攻击。您可以使用一系列支持的 IAM MFA 方法来加强对 AWS 账户的访问，其中就包括 FIDO 认证的安全密钥。AWS 还支持 FIDO2 通行密钥，以提供更便捷的 MFA 实施体验，同时允许客户针对每个根用户和 IAM 用户最多注册 8 个 MFA 设备。对于 AWS Organizations 客户，我们建议通过管理账户集中管理访问权限，并移除成员账户中的根用户凭证，从而实现更强的整体安全防护。

了解更多信息：

• 根用户 MFA 指南
• 集中式根访问权限