Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS - AWS Identitäts- und Zugriffsverwaltung
Was ist MFA?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS

Um die Sicherheit zu erhöhen, empfehlen wir Ihnen, die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, um Ihre AWS Ressourcen zu schützen. Sie können MFA für die IAM-Benutzer Root-Benutzer des AWS-Kontos und aktivieren. Wenn Sie MFA für den Stammbenutzer aktivieren, wirkt sich das nur auf die Anmeldeinformationen des Stammbenutzers. IAM-Benutzer im Konto sind unabhängige Identitäten mit eigenen Anmeldeinformationen und einer jeweils individuellen MFA-Konfiguration. Sie können bis zu acht MFA-Geräte einer beliebigen Kombination der derzeit unterstützten MFA-Typen für Ihren Root-Benutzer des AWS-Kontos und Ihre IAM-Benutzer registrieren. Weitere Informationen zu unterstützten MFA-Typen finden Sie unter Was ist MFA?. Bei mehreren MFA-Geräten wird nur ein MFA-Gerät benötigt, um sich bei der anzumelden AWS Management Console oder eine Sitzung über die AWS CLI als dieser Benutzer zu erstellen.

Anmerkung

Wir empfehlen, dass Sie menschliche Benutzer auffordern, beim Zugriff auf temporäre Anmeldeinformationen zu verwenden AWS. Haben Sie die Verwendung von in Betracht gezogen AWS IAM Identity Center? Sie können IAM Identity Center verwenden, um den Zugriff auf mehrere zentral zu verwalten AWS-Konten und Benutzern MFA-geschützten Single-Sign-On-Zugriff auf alle ihnen zugewiesenen Konten von einem Ort aus zu gewähren. Mit IAM Identity Center können Sie Benutzeridentitäten in IAM Identity Center erstellen und verwalten oder einfach eine Verbindung zu Ihrem vorhandenen SAML-2.0-kompatiblen Identitätsanbieter herstellen. Weitere Informationen finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center -Benutzerhandbuch.

Was ist MFA?

MFA bietet zusätzliche Sicherheit, da Benutzer zusätzlich zu ihren regulären Anmeldeinformationen eine eindeutige Authentifizierung über einen AWS unterstützten MFA-Mechanismus bereitstellen müssen, wenn sie auf AWS Websites oder Services zugreifen. AWS unterstützt die folgenden MFA-Typen.

FIDO-Sicherheit

FIDO-zertifizierte Hardware-Sicherheitsschlüssel werden von Drittanbietern bereitgestellt.

Die FIDO Alliance führt eine Liste aller FIDO-zertifizierten Produkte, die mit den FIDO-Spezifikationen kompatibel sind. Die FIDO-Authentifizierungsstandards basieren auf der Kryptografie mit öffentlichen Schlüsseln, die eine starke, phishing-resistente Authentifizierung ermöglicht, die sicherer ist als Passwörter. FIDO-Sicherheitsschlüssel unterstützen mehrere Root-Konten und IAM-Benutzer, die einen einzigen Sicherheitsschlüssel verwenden. Weitere Informationen zur Aktivierung von FIDO-Sicherheitsschlüsseln finden Sie unter Aktivieren eines FIDO-Sicherheitsschlüssels (Konsole).

Virtuelle MFA-Geräte

Eine virtuelle Authentifizierungsanwendung, die auf einem Telefon oder einem anderen Gerät ausgeführt wird und ein physisches Gerät emuliert.

Virtuelle Authentifizierungs-Apps implementieren den Algorithmus für ein zeitgesteuertes Einmalpasswort (TOTP) und unterstützen mehrere Token auf einem einzigen Gerät. Der Benutzer muss während der Anmeldung auf einer zweiten Webseite einen gültigen Code von dem Gerät eingeben. Jedes virtuelle MFA-Gerät, das einem Benutzer zugeordnet ist, muss eindeutig sein. Ein Benutzer kann keinen Code von einem virtuellen MFA-Gerät eines anderen Benutzers eingeben, um sich zu authentifizieren. Da diese Apps auf ungesicherten mobilen Geräten ausgeführt werden können, bietet die virtuelle MFA ggf. nicht denselben Grad an Sicherheit wie FIDO-Sicherheitsschlüssel.

Wir empfehlen die Verwendung eines virtuellen MFA-Geräts beim Warten auf die Genehmigung für den Hardware-Kauf oder während Sie warten, bis Ihre Hardware eintrifft. Eine Liste einiger unterstützter Anwendungen, die Sie als virtuelle MFA-Geräte verwenden können, finden Sie unter Multifaktor-Authentifizierung. Anweisungen zum Einrichten eines virtuellen MFA-Geräts mit finden Sie AWSunter Aktivieren eines virtuellen Multi-Factor Authentication (MFA)-Geräts (Konsole).

Hardware-TOTP-Token

Ein Hardwaregerät, das einen sechsstelligen numerischen Code basierend auf dem Algorithmus für ein zeitgesteuertes Einmalpasswort (TOTP) generiert.

Der Benutzer muss während der Anmeldung auf einer zweiten Webseite einen gültigen Code von dem Gerät eingeben. Jedes MFA-Gerät, das einem Benutzer zugeordnet ist, muss eindeutig sein. Ein Benutzer kann keinen Code von einem MFA-Gerät eines anderen Benutzers eingeben, um sich zu authentifizieren. Weitere Informationen zu unterstützten Hardware-MFA-Geräten finden Sie unter Multifaktor-Authentifizierung. Anweisungen zum Einrichten eines Hardware-TOTP-Tokens mit AWS finden Sie unter Aktivieren eines Hardware-TOTP-Tokens (Konsole).

Wir empfehlen, FIDO-Sicherheitsschlüssel als Alternative zu Hardware-TOTP-Geräten zu verwenden. FIDO-Sicherheitsschlüssel bieten die Vorteile, dass keine Batterieanforderungen vorhanden sind und keine Phishing-Resistenz besteht. Sie unterstützen mehrere IAM- oder Root-Benutzer auf einem einzigen Gerät, um die Sicherheit zu erhöhen.

Anmerkung

SMS-textnachrichtenbasierte MFA – AWS hat die Unterstützung für Multi-Faktor-Authentifizierung (MFA) per SMS eingestellt. Wir empfehlen Kunden mit IAM-Benutzern, die SMS-textnachrichtenbasierte MFA verwenden, zu einer der folgenden alternativen Methoden zu wechseln: virtuelles (softwarebasiertes) MFA-Gerät, FIDO-Sicherheitsschlüssel, oder Hardware-MFA-Gerät. Sie können die Benutzer in Ihrem Konto mit einem zugewiesenen SMS-MFA-Gerät identifizieren. Navigieren Sie zu diesem Zweck zur IAM-Konsole, wählen Sie im Navigationsbereich Users (Benutzer) und suchen Sie nach Benutzern mit SMS in der Tabellenspalte MFA.

Themen