为 Amazon WorkMail 启用 MFA 双因素认证

为什么需要为 WorkMail 启用 MFA？

• 抵御密码泄露： 即使员工密码不慎泄露（如钓鱼攻击、数据库泄露），攻击者也无法仅凭密码登录受 MFA 保护的账户。

• 满足合规要求： 许多行业法规（如 GDPR, HIPAA, PCI DSS）明确要求对访问敏感数据的账户实施强身份验证，MFA 是核心手段。

• 提升整体安全态势： 显著降低账户被接管的风险，保护公司机密信息、财务数据和客户隐私。

• 保护关键业务功能： 邮箱通常与密码重置、内部系统访问权限相关联，保护邮箱就是保护企业核心资产。

---

启用 MFA 的前提条件

1. AWS 账户管理员权限： 您需要拥有足够权限（通常是 AWS 账户根用户或具有 WorkMailFullAccess 或相关管理权限的 IAM 用户）来访问 AWS 管理控制台并管理 WorkMail 组织设置。

2. WorkMail 组织： 您已经成功创建了 Amazon WorkMail 组织。

3. WorkMail 用户： 组织内已存在需要启用 MFA 的用户账户。

4. MFA 设备/应用程序： 准备一个兼容的认证器应用程序（如 Google Authenticator, Microsoft Authenticator, Authy 等）用于生成基于时间的一次性密码（TOTP），或准备一个 U2F（Universal 2nd Factor）兼容的物理安全密钥（如 YubiKey）。

---

详细操作步骤：通过 AWS 管理控制台启用 MFA

以下步骤演示如何为单个 WorkMail 用户启用 MFA（基于 TOTP 认证器应用）：

1. 登录 AWS 管理控制台：

   • 访问 https://console.aws.amazon.com/

   • 使用您的管理员凭证登录。

2. 导航到 Amazon WorkMail 服务：

   • 在控制台顶部的服务搜索框中，输入 WorkMail 并选择它。

   • 或者在 “应用程序” 或 “企业应用程序” 分类下找到 WorkMail。

3. 选择您的 WorkMail 组织：

   • 在 WorkMail 控制台主页，您会看到已创建的 WorkMail 组织列表。点击您要管理的组织名称。

4. 访问用户管理：

   • 在左侧导航菜单中，找到并点击 “用户” (Users)。这将列出该组织内的所有用户。

5. 选择目标用户：

   • 在用户列表中，找到您需要为其启用 MFA 的用户账户。点击该用户的登录名（通常是邮箱地址）以进入其详细设置页面。

6. 进入“多因素认证”(MFA) 选项卡：

   • 在用户详情页面，您会看到几个选项卡（如“常规”、“邮箱详细信息”、“移动设备”、“组”等）。点击 “多因素认证”(Multi-factor authentication) 选项卡。

7. 启用 MFA：

   • 在 “多因素认证” 页面，您会看到当前状态（默认是“已禁用”）。点击 “启用 MFA” (Enable MFA) 按钮。

   • （截图提示：此处可截图显示“启用MFA”按钮位置）

8. 选择 MFA 类型并开始设置：

   • 在弹出的 “启用多因素认证” (Enable multi-factor authentication) 对话框中：

     • 选择 “虚拟 MFA 设备” (Virtual MFA device)： 这是我们通常使用的认证器App方式。

     • 选择 “U2F 安全密钥” (U2F security key)： 如果您使用的是物理安全密钥。

   • 这里我们选择 “虚拟 MFA 设备”，然后点击 “显示 QR 码” (Show QR code)。系统会生成一个二维码和一个密钥（Secret Key）。

9. 使用认证器应用程序扫描/输入：

   • 打开您手机上的认证器应用程序（如 Google Authenticator）。

   • 点击应用内的 “+” 或 “添加账户” 按钮。

   • 选择 “扫描条形码” (Scan barcode) 选项，并扫描第 8 步中显示的二维码。如果扫描失败，也可以选择 “手动输入” 并输入提供的密钥（Secret Key）和账户名（建议格式：WorkMail - user@domain.com）。

   • 扫描/输入成功后，认证器App 将开始为您的 WorkMail 账户生成 6 位数的、每隔 30 秒变化一次的 TOTP 验证码。

10. 输入连续的两个 MFA 验证码：

    • 返回 AWS 控制台对话框。

    • 在 “MFA 代码 1” (MFA code 1) 输入框中，输入认证器App 当前显示 的 6 位数验证码。

    • 等待约 15-30 秒，直到认证器App 上的验证码刷新。

    • 在 “MFA 代码 2” (MFA code 2) 输入框中，输入认证器App 新刷新 的 6 位数验证码。

11. 完成启用：

    • 确认两个验证码输入正确后，点击 “分配 MFA” (Assign MFA) 按钮。

    • 系统会提示 MFA 已成功启用。

12. 验证 MFA 状态：

    • 回到用户的 “多因素认证” 选项卡。现在状态应显示为 “已启用” (Enabled)，并显示 MFA 设备的类型（如 “Virtual”）和最后启用时间。

---

用户首次登录体验（启用 MFA 后）

1. 用户在 Web 端访问 WorkMail 登录页面（通常是 https://alias.awsapps.com/mail）。

2. 输入用户名（邮箱地址）和密码。

3. 系统会提示用户输入 MFA 代码。

4. 用户打开手机上的认证器App，找到对应的 WorkMail 条目，输入当前显示的 6 位验证码。

5. 验证通过后，用户成功登录邮箱。

出海无忧：AWS亚马逊云三大能力支撑企业全球业务畅通与合规出海当你的应用在东南亚因服务器延迟而流失用户，当欧洲新规上线导致数据合规亮起红灯，当拉美市场突增的流量冲垮本https://mp.weixin.qq.com/s/GPVUxN518D27GnzF4iAzHA