Utilisation de l'authentification multifactorielle (MFA) dans AWS - AWS Identity and Access Management
Qu'est-ce que l'authentification MFA ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de l'authentification multifactorielle (MFA) dans AWS

Pour une sécurité accrue, nous vous recommandons de configurer l'authentification multifactorielle (MFA) afin de protéger AWS vos ressources. Vous pouvez activer le MFA pour les utilisateurs Utilisateur racine d'un compte AWS et IAM. Lorsque vous activez l'authentification MFA pour l'utilisateur root, cela affecte uniquement les informations d'identification de l'utilisateur root. Les utilisateurs IAM du compte sont des identités distinctes avec leurs propres informations d'identification, et chaque identité dispose de sa propre configuration MFA. Vous pouvez enregistrer jusqu'à huit dispositifs MFA de n'importe quelle combinaison des types MFA actuellement pris en charge avec votre Utilisateur racine d'un compte AWS et les utilisateurs IAM. Pour obtenir plus d'informations sur le types MFA pris en charge, consultez Qu'est-ce que l'authentification MFA ?. Avec plusieurs appareils MFA, un seul appareil MFA est nécessaire pour se connecter AWS Management Console ou créer une session via cet utilisateur. AWS CLI

Note

Nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès AWS. Avez-vous envisagé d'en utiliser AWS IAM Identity Center ? Vous pouvez utiliser IAM Identity Center pour gérer de manière centralisée l'accès à plusieurs comptes Comptes AWS et fournir aux utilisateurs un accès par authentification unique protégé par le MFA à tous les comptes qui leur sont attribués à partir d'un seul endroit. Avec IAM Identity Center, vous pouvez créer et gérer les identités des utilisateurs dans IAM Identity Center ou vous connecter facilement à votre fournisseur d'identité compatible SAML 2.0 existant. Pour plus d'informations, consultez Qu'est-ce que IAM Identity Center ? dans le Guide de l'utilisateur AWS IAM Identity Center .

Qu'est-ce que l'authentification MFA ?

La MFA renforce la sécurité car elle oblige les utilisateurs à fournir une authentification unique à partir d'un mécanisme AWS MFA compatible en plus de leurs informations de connexion habituelles lorsqu'ils accèdent à des sites Web ou à des services. AWS AWS prend en charge les types de MFA suivants.

Sécurité FIDO

Les clés de sécurité matérielles certifiées FIDO sont fournies par des fournisseurs tiers.

La FIDO Alliance tient à jour une liste de tous les produits certifiés FIDO qui sont compatibles avec les spécifications FIDO. Les normes d'authentification FIDO sont basées sur la cryptographie à clé publique, qui permet une authentification forte, résistante au phishing (hameçonnage) et plus sécurisée que les mots de passe. Les clés de sécurité FIDO prennent en charge plusieurs comptes racines et utilisateurs IAM à l'aide d'une seule clé de sécurité. Pour plus d'informations sur l'activation des clés de sécurité FIDO, consultez Activation d'une clé de sécurité FIDO (console).

Appareils MFA virtuels

Une appli d'authentification virtuelle qui s'exécute sur un téléphone ou un autre appareil et qui égale le niveau d'un dispositif physique.

Les applications d'authentification virtuelle mettent en œuvre l'algorithme TOTP (mot de passe unique à durée limitée) et prennent en charge plusieurs jetons sur un seul dispositif. L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion. Chaque dispositif MFA virtuel attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du dispositif MFA virtuel d'un autre utilisateur pour s'authentifier. Comme ces applications d'authentification multifactorielle (MFA) virtuelle peuvent s'exécuter sur des appareils mobiles non sécurisés, elles peuvent ne pas offrir le même niveau de sécurité que les clés de sécurité FIDO.

Nous vous recommandons d'utiliser un dispositif MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou pendant que vous attendez de recevoir votre matériel. Pour obtenir une liste des applications que vous pouvez utiliser comme dispositifs MFA virtuels, consultez Multi-Factor Authentication. Pour obtenir des instructions sur la configuration d'un périphérique MFA virtuel avec AWS, voir. Activation d'un appareil Multi-Factor Authentication (MFA) virtuel (console)

Jeton TOTP matériel

Un périphérique matériel qui génère un code numérique à six chiffres basé sur l'algorithme TOTP (mot de passe à usage unique basé sur le temps).

L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion. Chaque dispositif MFA attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d'informations sur les dispositifs MFA matériels pris en charge, consultez authentification multifacteur. Pour plus d'informations sur la configuration d'un jeton TOTP matériel avec AWS, consultez Activation d'un jeton TOTP matériel (console).

Nous vous recommandons d'utiliser les clés de sécurité FIDO comme alternative aux périphériques TOTP matériels. Les clés de sécurité FIDO offrent l'avantage de ne pas nécessiter de batterie, de résister au phishing et de prendre en charge plusieurs utilisateurs IAM ou root sur un seul appareil pour une sécurité renforcée.

Note

MFA basé sur les SMS : AWS a cessé de prendre en charge l'authentification multifactorielle (MFA) par SMS. Nous recommandons aux clients dont les utilisateurs IAM utilisent un dispositif MFA basé sur les SMS de passer à l'une des méthodes alternatives suivantes : clé de sécurité FIDO, dispositif MFA (logiciel) virtuel ou dispositif MFA matériel. Vous pouvez identifier les utilisateurs dans votre compte avec un dispositif MFA SMS affecté. Pour ce faire, accédez à la console IAM, choisissez Utilisateurs dans le panneau de navigation, puis recherchez les utilisateurs avec SMS mentionné dans la colonne MFA de la table.

Rubriques