AWS Multi-Faktor-Authentifizierung in IAM - AWS Identitäts- und Zugriffsverwaltung
MFA-TypenMFA-EmpfehlungenWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Multi-Faktor-Authentifizierung in IAM

Um die Sicherheit zu erhöhen, empfehlen wir, die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, um Ihre AWS Ressourcen zu schützen. Sie können die Root-Benutzer des AWS-Kontos Aktivierung MFA für alle Konten AWS-Konten, einschließlich eigenständiger Konten, Verwaltungskonten und Mitgliedskonten, sowie für Ihre IAM Benutzer aktivieren. Diese MFA Option ist zwar standardmäßig für Root-Benutzer aktiviert, erfordert jedoch eine Aktion des Kunden, um sie MFA bei der ersten Kontoerstellung oder nach Aufforderung bei der Anmeldung hinzuzufügen.

Wenn Sie die Option MFA für den Root-Benutzer aktivieren, wirkt sich dies nur auf die Root-Benutzeranmeldedaten aus. IAMBenutzer im Konto sind unterschiedliche Identitäten mit eigenen Anmeldeinformationen, und jede Identität hat ihre eigene MFA Konfiguration. Weitere Hinweise zur Verwendung MFA zum Schutz des Root-Benutzers finden Sie unterMulti-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos.

Sie Root-Benutzer des AWS-Kontos und Ihre IAM Benutzer können bis zu acht MFA Geräte beliebigen Typs registrieren. Die Registrierung mehrerer MFA Geräte bietet Flexibilität und trägt dazu bei, das Risiko einer Zugriffsunterbrechung bei Verlust oder Beschädigung eines Geräts zu verringern. Sie benötigen nur ein MFA Gerät, um sich anzumelden AWS Management Console oder über das eine Sitzung zu erstellen AWS CLI.

Anmerkung

Wir empfehlen, dass Sie von Ihren menschlichen Benutzern verlangen, dass sie beim Zugriff temporäre Anmeldeinformationen verwenden AWS. Haben Sie darüber nachgedacht, es zu verwenden AWS IAM Identity Center? Sie können IAM Identity Center verwenden, um den Zugriff auf mehrere Konten zentral zu verwalten AWS-Konten und Benutzern einen MFA geschützten Single-Sign-On-Zugriff auf alle ihnen zugewiesenen Konten von einem Ort aus zu gewähren. Mit IAM Identity Center können Sie Benutzeridentitäten in IAM Identity Center erstellen und verwalten oder ganz einfach eine Verbindung zu Ihrem bestehenden SAML 2.0-kompatiblen Identitätsanbieter herstellen. Weitere Informationen finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center Benutzerhandbuch.

MFAbietet zusätzliche Sicherheit, sodass Benutzer zusätzlich zu ihren Anmeldedaten eine eindeutige Authentifizierung über einen AWS unterstützten MFA Mechanismus angeben müssen, wenn sie auf AWS Websites oder Dienste zugreifen.

MFA-Typen

AWS unterstützt die folgenden MFA Typen:

Passkeys und Sicherheitsschlüssel

AWS Identity and Access Management unterstützt Hauptschlüssel und Sicherheitsschlüssel fürMFA. Auf der Grundlage von FIDO Standards verwenden Hauptschlüssel Kryptografie mit öffentlichen Schlüsseln, um eine starke, gegen Phishing resistente Authentifizierung bereitzustellen, die sicherer ist als Passwörter. AWS unterstützt zwei Arten von Hauptschlüsseln: gerätegebundene Hauptschlüssel (Sicherheitsschlüssel) und synchronisierte Hauptschlüssel.

  • Sicherheitsschlüssel: Dabei handelt es sich um physische Geräte, wie z. B. a YubiKey, die als zweiter Faktor für die Authentifizierung verwendet werden. Ein einziger Sicherheitsschlüssel kann mehrere Root-Benutzerkonten und IAM Benutzer unterstützen.

  • Synchronisierte Passkeys: Diese nutzen Anmeldeinformationen von Anbietern wie Google, Apple, Microsoft-Konten und Drittanbieter-Services wie 1Password, Dashlane und Bitwarden als zweiten Faktor.

Du kannst integrierte biometrische Authentifikatoren wie Touch ID auf Apple MacBooks verwenden, um deinen Anmeldeinformationsmanager zu entsperren und dich dort anzumelden. AWS Passkeys werden mit deinem ausgewählten Anbieter mithilfe deines Fingerabdrucks, deines Gesichts oder deines Geräts erstellt. PIN Sie können Hauptschlüssel auf Ihren Geräten synchronisieren, um die Anmeldung zu erleichtern und so die Benutzerfreundlichkeit und Wiederherstellbarkeit zu AWS verbessern.

IAMunterstützt keine lokale Hauptschlüsselregistrierung für Windows Hello. Um Hauptschlüssel zu erstellen und zu verwenden, sollten Windows-Benutzer die geräteübergreifende Authentifizierung () verwenden. CDA Sie können einen CDA Hauptschlüssel von einem Gerät verwenden, z. B. ein Mobilgerät oder einen Hardwaresicherheitsschlüssel, um sich auf einem anderen Gerät wie einem Laptop anzumelden.

Die FIDO Alliance führt eine Liste aller FIDOzertifizierten Produkte, die mit den FIDO Spezifikationen kompatibel sind.

Weitere Informationen zum Aktivieren von Passkeys und Sicherheitsschlüsseln finden Sie unter Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole).

Anwendungen für virtuelle Authentifikatoren

Eine Anwendung zur virtuellen Authentifizierung wird auf einem Telefon oder einem anderen Gerät ausgeführt und emuliert ein physisches Gerät. Apps für virtuelle Authentifikatoren implementieren den zeitbasierten Einmalpasswort-Algorithmus (TOTP) und unterstützen mehrere Token auf einem einzigen Gerät. Der Benutzer muss bei der Anmeldung einen gültigen Code vom Gerät eingeben, wenn er dazu aufgefordert wird. Jeder Token, der einem Benutzer zugeordnet wird, muss eindeutig sein. Ein Benutzer kann zur Authentifizierung keinen Code vom Token eines anderen Benutzers eingeben.

Wir empfehlen Ihnen, ein virtuelles MFA Gerät zu verwenden, während Sie auf die Genehmigung des Hardwarekaufs warten oder bis Ihre Hardware eintrifft. Eine Liste einiger unterstützter Apps, die Sie als virtuelle MFA Geräte verwenden können, finden Sie unter Multi-Faktor-Authentifizierung (MFA).

Anweisungen zum Einrichten eines virtuellen MFA Geräts für einen IAM Benutzer finden Sie unterWeisen Sie ein virtuelles MFA Gerät zu in der AWS Management Console.

Anmerkung

Nicht zugewiesene virtuelle MFA Geräte in Ihrem AWS-Konto werden gelöscht, wenn Sie entweder über den AWS Management Console oder während des Anmeldevorgangs neue virtuelle MFA Geräte hinzufügen. Nicht zugewiesene virtuelle MFA Geräte sind Geräte in Ihrem Konto, die jedoch nicht vom Root-Benutzer oder IAM Benutzern des Kontos für den Anmeldevorgang verwendet werden. Sie werden gelöscht, sodass neue virtuelle MFA Geräte zu Ihrem Konto hinzugefügt werden können. Außerdem können Sie Gerätenamen wiederverwenden.

  • Um nicht zugewiesene virtuelle MFA Geräte in Ihrem Konto anzuzeigen, können Sie entweder den list-virtual-mfa-devices AWS CLI Befehl oder den APIAnruf verwenden.

  • Um ein virtuelles MFA Gerät zu deaktivieren, können Sie entweder den deactivate-mfa-device AWS CLI Befehl oder den APIAnruf verwenden. Die Zuweisung des Geräts wird aufgehoben.

  • Um Ihrem AWS-Konto Root-Benutzer oder Ihren IAM Root-Benutzern ein nicht zugewiesenes virtuelles MFA Gerät zuzuordnen, benötigen Sie den vom Gerät generierten Authentifizierungscode zusammen mit dem enable-mfa-device AWS CLI Befehl oder APIdem Anruf.

Hardware-Token TOTP

Ein Hardwaregerät generiert einen sechsstelligen numerischen Code, der auf dem zeitbasierten Einmalpasswort (TOTP) -Algorithmus basiert. Der Benutzer muss während der Anmeldung auf einer zweiten Webseite einen gültigen Code von dem Gerät eingeben.

Diese Token werden ausschließlich mit verwendet. AWS-Konten Sie können nur Token verwenden, deren eindeutige Token-Seeds auf sichere Weise gemeinsam genutzt werden AWS. Token-Seeds sind geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Tokens, die aus anderen Quellen gekauft wurden, funktionieren nicht mitIAM. Um die Kompatibilität sicherzustellen, müssen Sie Ihr MFA Hardwaregerät über einen der folgenden Links erwerben: OTPToken OTP oder Grafikkarte.

  • Jedes einem Benutzer zugewiesene MFA Gerät muss einzigartig sein. Ein Benutzer kann keinen Code von einem MFA-Gerät eines anderen Benutzers eingeben, um sich zu authentifizieren. Informationen zu unterstützten MFA Hardwaregeräten finden Sie unter Multi-Faktor-Authentifizierung (MFA).

  • Wenn Sie ein physisches MFA Gerät verwenden möchten, empfehlen wir Ihnen, Sicherheitsschlüssel als Alternative zu TOTP Hardwaregeräten zu verwenden. Sicherheitsschlüssel erfordern keine Batterien, sind Phishing-resistent und unterstützen mehrere Benutzer auf einem einzigen Gerät.

Sie können einen Hauptschlüssel oder Sicherheitsschlüssel AWS Management Console nur über die Option oder aktivieren, nicht über die Option AWS CLI oder AWS API. Bevor Sie einen Sicherheitsschlüssel aktivieren können, müssen Sie über physischen Zugriff auf das Gerät verfügen.

Anweisungen zum Einrichten eines TOTP Hardware-Tokens für einen IAM Benutzer finden Sie unterHardware-TOTP-Token in der AWS Management Console zuweisen.

Anmerkung

SMSTextnachrichtenbasiert MFA — die Unterstützung für die Aktivierung der SMS Multi-Faktor-Authentifizierung AWS wurde eingestellt (). MFA Wir empfehlen Kunden, deren IAM Benutzer SMS Textnachrichten verwenden, zu einer der folgenden alternativen Methoden zu MFA wechseln: Hauptschlüssel oder Sicherheitsschlüssel, virtuelles (softwarebasiertes) Gerät oder Hardwaregerät. MFA MFA Sie können die Benutzer in Ihrem Konto mit einem zugewiesenen Gerät identifizieren. SMS MFA Wählen Sie in der IAM Konsole im Navigationsbereich Benutzer aus und suchen Sie SMSin der MFATabellenspalte nach Benutzern mit.

MFA-Empfehlungen

Folgen Sie diesen MFA Authentifizierungsempfehlungen, um Ihre AWS Identitäten zu schützen.

  • Wir empfehlen, dass Sie mehrere MFA Geräte für die IAM Benutzer Root-Benutzer des AWS-Kontos und in Ihrem AWS-Konten Gerät aktivieren. Auf diese Weise können Sie die Sicherheitslatte in Ihrem System höher legen AWS-Konten und die Verwaltung des Zugriffs für Benutzer mit hohen Rechten vereinfachen, z. B. die Root-Benutzer des AWS-Kontos.

  • Sie können bis zu acht MFA Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA Typen bei Ihnen Root-Benutzer des AWS-Kontos und Ihren IAM Benutzern registrieren. Bei mehreren MFA Geräten benötigen Sie nur ein MFA Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS Management Console oder eine Sitzung über den zu erstellen. Ein IAM Benutzer muss sich mit einem vorhandenen MFA Gerät authentifizieren, um ein zusätzliches MFA Gerät zu aktivieren oder zu deaktivieren.

  • Im Falle eines verlorenen, gestohlenen oder unzugänglichen MFA Geräts können Sie eines der verbleibenden MFA Geräte verwenden, um darauf zuzugreifen, AWS-Konto ohne den AWS-Konto Wiederherstellungsvorgang durchführen zu müssen. Wenn ein MFA Gerät verloren geht oder gestohlen wird, sollte es von dem IAM Hauptgerät getrennt werden, dem es zugeordnet ist.

  • Durch die Verwendung mehrerer Geräte MFAs können Ihre Mitarbeiter an geografisch verteilten Standorten oder von zu Hause aus hardwarebasierten MFA Zugriff verwenden, AWS ohne den physischen Austausch eines einzelnen Hardwaregeräts zwischen den Mitarbeitern koordinieren zu müssen.

  • Durch die Verwendung zusätzlicher MFA Geräte für IAM Principals können Sie eines oder mehrere Geräte MFAs für den täglichen Gebrauch verwenden und gleichzeitig physische MFA Geräte an einem sicheren physischen Ort wie einem Tresor oder einem Tresor für Backup und Redundanz aufbewahren.

Hinweise

  • Sie können die MFA Informationen für einen FIDO Sicherheitsschlüssel nicht an AWS STS API Vorgänge weitergeben, um temporäre Anmeldeinformationen anzufordern.

  • Sie können keine AWS CLI Befehle oder AWS API Operationen verwenden, um FIDOSicherheitsschlüssel zu aktivieren.

  • Sie können denselben Namen nicht für mehr als einen Root oder ein IAM MFA Gerät verwenden.

Weitere Ressourcen

Die folgenden Ressourcen können Ihnen helfen, mehr darüber zu erfahren IAMMFA.

  • Weitere Informationen zur Verwendung von MFA To Access AWS finden Sie unterAnmeldung mit MFA.

  • Sie können IAM Identity Center nutzen, um den sicheren MFA Zugriff auf das AWS Zugriffsportal, die integrierten IAM Identity Center-Apps und das zu ermöglichen AWS CLI. Weitere Informationen finden Sie unter MFAIn IAM Identity Center aktivieren.