AWS 增加了密码密钥支持以增强安全性，并强制根用户使用 MFA

AWS 最近宣布了两项新的安全功能。首先，密钥现在可用于根用户和 IAM 用户的多重身份验证 (MFA)，提供除用户名和密码之外的额外安全性。其次，AWS 现在要求根用户使用 MFA，从 AWS 组织中的根用户账户开始。这一要求将在全年扩展到其他账户。

AWS 已逐步启动此计划，从有限数量的 AWS Organizations 管理账户开始，并随着时间的推移扩展到大多数账户。未在根账户上启用 MFA 的用户将在登录时收到激活提示，并在强制启用之前有一个宽限期。

要启用密钥 MFA，用户需要访问 AWS 控制台的 IAM 部分。选择所需用户后，找到 MFA 部分并单击“分配 MFA 设备”。需要注意的是，为用户启用多个 MFA 设备可以改善帐户恢复选项。

接下来，命名设备并选择“密钥或安全密钥”。如果使用支持密钥的密码管理器，它将提供生成和存储密钥的功能。否则，浏览器将提供选项（取决于操作系统和浏览器）。例如，在使用基于 Chromium 的浏览器的 macOS 机器上，会显示使用 Touch ID 创建密钥并将其存储在 iCloud 钥匙串中的提示。从此时起的体验会根据用户的选择而有所不同。

目前，除中国外，所有区域的 AWS 用户均可使用多重身份验证密钥。此外，除中国两个区域（北京和宁夏）和 AWS GovCloud（美国），因为这些区域不需要 root 用户即可运行。