Можете ли вы использовать один и тот же брелок Gemalto MFA для нескольких аккаунтов AWS?
Я контролирую несколько учетных записей AWS. Я хотел бы использовать MFA для рутинных входов в систему.
У меня есть аппаратный брелок Gemalto от Amazon ( docs), зарегистрированный для MFA для учетной записи root на одном из них.
Я пытался добавить MFA ко второй учетной записи, используя тот же брелок, но я получил сообщение "The token serial number was not found.".
Кто-нибудь может подтвердить или опровергнуть, возможно ли повторно использовать один и тот же брелок для MFA для нескольких учетных записей AWS?
Я не смог найти ничего об этом сценарии в документации Amazon, и сообщение об ошибке неоднозначно. Криптографически мне кажется, что он должен работать нормально, поскольку это токен, основанный на времени, а не цепочка OTP.
1 ответ
Ваша логика кажется разумной, но AWS не поддерживает это.
В. Могу ли я использовать свое устройство аутентификации с несколькими учетными записями AWS?
Нет. Устройство аутентификации или номер мобильного телефона привязаны к индивидуальному идентификатору AWS (пользователю IAM или учетной записи root). Если на вашем смартфоне установлено приложение, совместимое с TOTP, вы можете создать несколько виртуальных устройств MFA на одном смартфоне. Каждое из виртуальных устройств MFA привязано к одному идентификатору, как аппаратное устройство. Если вы отключите (деактивируете) устройство аутентификации, вы сможете использовать его с другим идентификатором AWS. Устройство аутентификации не может использоваться более чем одним идентификатором одновременно.
Одно из возможных объяснений их политики можно найти в этом ответе "Является ли совместное использование одного и того же TOTP на нескольких серверах менее безопасным?".