Я контролирую несколько учетных записей AWS. Я хотел бы использовать MFA для корневого входа.
У меня есть аппаратный брелок Gemalto от Amazon (документы) зарегистрирован в MFA для учетной записи root на одном из них.
Я попытался добавить MFA во вторую учетную запись, используя тот же брелок, но получил сообщение "The token serial number was not found.".
Может ли кто-нибудь подтвердить или опровергнуть возможность повторного использования одного и того же брелока для MFA для нескольких учетных записей AWS?
Мне не удалось найти ничего об этом сценарии в документации Amazon, и сообщение об ошибке неоднозначно. Криптографически мне кажется, что он должен работать нормально, поскольку это токен, основанный на времени, а не цепочка одноразовых паролей.
Ваша логика кажется разумной, но AWS этого не поддерживает.
В. Могу ли я использовать свое устройство аутентификации с несколькими учетными записями AWS?
Нет. Устройство аутентификации или номер мобильного телефона привязаны к индивидуальному идентификатору AWS (пользователю IAM или учетной записи root). Если у тебя есть ТОТП-совместимое приложение, установленное на вашем смартфоне, вы можете создать несколько виртуальных устройств MFA на одном смартфоне. Каждое из виртуальных устройств MFA привязано к одному идентификатору, как и аппаратное устройство. Если вы отключите (деактивируете) устройство аутентификации, вы сможете повторно использовать его с другим идентификатором AWS. Устройство аутентификации не может использоваться более чем одним удостоверением одновременно.
Одно возможное обоснование их политики можно найти в этот ответ на вопрос «Является ли использование одного и того же TOTP на нескольких серверах менее безопасным?».