Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos - AWS Identitäts- und Zugriffsverwaltung
Hauptschlüssel und SicherheitsschlüsselAnwendungen für virtuelle AuthentifikatorenTOTPHardware-Token

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos

Die Multi-Faktor-Authentifizierung (MFA) ist ein einfacher und effektiver Mechanismus zur Verbesserung Ihrer Sicherheit. Der erste Faktor — Ihr Passwort — ist ein Geheimnis, das Sie sich merken, auch Wissensfaktor genannt. Andere Faktoren können Besitzfaktoren (etwas, das Sie besitzen, z. B. ein Sicherheitsschlüssel) oder Inhärenzfaktoren (etwas, das Sie sind, z. B. ein biometrischer Scan) sein. Um die Sicherheit zu erhöhen, empfehlen wir dringend, die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, um Ihre Ressourcen zu schützen. AWS

Sie können sie MFA für die IAM Benutzer Root-Benutzer des AWS-Kontos und aktivieren. Wenn Sie die Option MFA für den Root-Benutzer aktivieren, wirkt sich dies nur auf die Root-Benutzeranmeldedaten aus. Weitere Informationen zur Aktivierung MFA für Ihre IAM Benutzer finden Sie unterAWS Multi-Faktor-Authentifizierung in IAM.

Bevor Sie die Aktivierung MFA für Ihren Root-Benutzer durchführen, überprüfen und aktualisieren Sie Ihre Kontoeinstellungen und Kontaktinformationen, um sicherzustellen, dass Sie Zugriff auf die E-Mail-Adresse und Telefonnummer haben. Wenn Ihr MFA Gerät verloren geht, gestohlen wird oder nicht funktioniert, können Sie sich trotzdem als Root-Benutzer anmelden, indem Sie Ihre Identität anhand dieser E-Mail-Adresse und Telefonnummer verifizieren. Weitere Informationen zum Anmelden mit alternativen Authentifizierungsmethoden finden Sie unter Stellen Sie eine MFA geschützte Identität wieder her in IAM. Wenn Sie dieses Feature deaktivieren möchten, wenden Sie sich an AWS Support.

AWS unterstützt die folgenden MFA Typen für Ihren Root-Benutzer:

Hauptschlüssel und Sicherheitsschlüssel

AWS Identity and Access Management unterstützt Hauptschlüssel und Sicherheitsschlüssel für. MFA Basierend auf FIDO Standards verwenden Hauptschlüssel Kryptografie mit öffentlichen Schlüsseln, um eine starke, gegen Phishing resistente Authentifizierung bereitzustellen, die sicherer ist als Passwörter. AWS unterstützt zwei Arten von Hauptschlüsseln: gerätegebundene Hauptschlüssel (Sicherheitsschlüssel) und synchronisierte Hauptschlüssel.

  • Sicherheitsschlüssel: Dabei handelt es sich um physische Geräte, wie z. B. a YubiKey, die als zweiter Faktor für die Authentifizierung verwendet werden. Ein einziger Sicherheitsschlüssel kann mehrere Root-Benutzerkonten und IAM Benutzer unterstützen.

  • Synchronisierte Hauptschlüssel: Diese verwenden Anmeldeinformationsmanager von Anbietern wie Google, Apple, Microsoft-Konten und Drittanbieterdiensten wie 1Password, Dashlane und Bitwarden als zweiten Faktor.

Sie können integrierte biometrische Authentifikatoren wie Touch ID auf Apple verwenden, um Ihren Anmeldeinformationsmanager zu entsperren MacBooks und sich dort anzumelden. AWS Passkeys werden mit deinem ausgewählten Anbieter mithilfe deines Fingerabdrucks, deines Gesichts oder deines Geräts erstellt. PIN Sie können Hauptschlüssel auf Ihren Geräten synchronisieren, um die Anmeldung zu erleichtern und so die Benutzerfreundlichkeit und Wiederherstellbarkeit zu AWS verbessern.

IAMunterstützt keine lokale Hauptschlüsselregistrierung für Windows Hello. Um Hauptschlüssel zu erstellen und zu verwenden, sollten Windows-Benutzer die geräteübergreifende Authentifizierung verwenden, bei der Sie einen Hauptschlüssel von einem Gerät wie einem Mobilgerät oder einen Hardware-Sicherheitsschlüssel verwenden, um sich auf einem anderen Gerät wie einem Laptop anzumelden. Die FIDO Allianz führt eine Liste aller FIDOzertifizierten Produkte, die mit den Spezifikationen kompatibel sind. FIDO Weitere Informationen zur Aktivierung von Hauptschlüsseln und Sicherheitsschlüsseln finden Sie unterAktivieren Sie einen Hauptschlüssel oder Sicherheitsschlüssel für den Root-Benutzer (Konsole).

Anwendungen für virtuelle Authentifikatoren

Eine virtuelle Authentifizierungsanwendung wird auf einem Telefon oder einem anderen Gerät ausgeführt und emuliert ein physisches Gerät. Apps für virtuelle Authentifikatoren implementieren den zeitbasierten Einmalpasswort-Algorithmus (TOTP) und unterstützen mehrere Token auf einem einzigen Gerät. Der Benutzer muss einen gültigen Code auf dem Gerät eingeben, wenn er bei der Anmeldung dazu aufgefordert wird. Jedes einem Benutzer zugewiesene Token muss eindeutig sein. Ein Benutzer kann zur Authentifizierung keinen Code aus dem Token eines anderen Benutzers eingeben.

Wir empfehlen Ihnen, ein virtuelles MFA Gerät zu verwenden, während Sie auf die Genehmigung des Hardwarekaufs warten oder bis Ihre Hardware eintrifft. Eine Liste einiger unterstützter Apps, die Sie als virtuelle MFA Geräte verwenden können, finden Sie unter Multi-Faktor-Authentifizierung (MFA). Anweisungen zum Einrichten eines virtuellen MFA Geräts mit finden Sie AWS unterAktivieren Sie ein virtuelles MFA Gerät für den Root-Benutzer (Konsole).

TOTPHardware-Token

Ein Hardwaregerät generiert einen sechsstelligen numerischen Code, der auf dem zeitbasierten Einmalpasswort (TOTP) -Algorithmus basiert. Der Benutzer muss während der Anmeldung auf einer zweiten Webseite einen gültigen Code von dem Gerät eingeben. Jedes einem Benutzer zugewiesene MFA Gerät muss einzigartig sein. Ein Benutzer kann keinen Code von einem MFA-Gerät eines anderen Benutzers eingeben, um sich zu authentifizieren. Informationen zu unterstützten MFA Hardwaregeräten finden Sie unter Multi-Faktor-Authentifizierung (MFA). Anweisungen zum Einrichten eines TOTP Hardware-Tokens mit finden Sie AWS unterAktivieren Sie ein TOTP Hardware-Token für den Root-Benutzer (Konsole).

Wenn Sie ein physisches MFA Gerät verwenden möchten, empfehlen wir die Verwendung von FIDO Sicherheitsschlüsseln als Alternative zu TOTP Hardwaregeräten. FIDOSicherheitsschlüssel bieten den Vorteil, dass sie keine Batterien benötigen und Phishing-Angriffe verhindern. Außerdem unterstützen sie mehrere IAM Root-Benutzer und Benutzer auf einem einzigen Gerät, um die Sicherheit zu erhöhen.

Themen