AWS Multi-Faktor-Authentifizierung in IAM - AWS Identitäts- und Zugriffsverwaltung
MFATypenMFAEmpfehlungenWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Multi-Faktor-Authentifizierung in IAM

Um die Sicherheit zu erhöhen, empfehlen wir, die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, um Ihre AWS Ressourcen zu schützen. Sie können sie MFA für die IAM Benutzer Root-Benutzer des AWS-Kontos und aktivieren. Wenn Sie die Option MFA für den Root-Benutzer aktivieren, wirkt sich dies nur auf die Root-Benutzeranmeldedaten aus. IAMBenutzer im Konto sind unterschiedliche Identitäten mit eigenen Anmeldeinformationen, und jede Identität hat ihre eigene MFA Konfiguration.

Sie Root-Benutzer des AWS-Kontos und Ihre IAM Benutzer können bis zu acht MFA Geräte beliebigen Typs registrieren. Die Registrierung mehrerer MFA Geräte bietet Flexibilität und trägt dazu bei, das Risiko einer Zugriffsunterbrechung bei Verlust oder Beschädigung eines Geräts zu verringern. Sie benötigen nur ein MFA Gerät, um sich anzumelden AWS Management Console oder über das eine Sitzung zu erstellen AWS CLI.

Anmerkung

Wir empfehlen, dass Sie von Ihren menschlichen Benutzern verlangen, dass sie beim Zugriff temporäre Anmeldeinformationen verwenden AWS. Haben Sie darüber nachgedacht, es zu verwenden AWS IAM Identity Center? Sie können IAM Identity Center verwenden, um den Zugriff auf mehrere Konten zentral zu verwalten AWS-Konten und Benutzern einen MFA geschützten Single-Sign-On-Zugriff auf alle ihnen zugewiesenen Konten von einem Ort aus zu gewähren. Mit IAM Identity Center können Sie Benutzeridentitäten in IAM Identity Center erstellen und verwalten oder ganz einfach eine Verbindung zu Ihrem bestehenden SAML 2.0-kompatiblen Identitätsanbieter herstellen. Weitere Informationen finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center Benutzerhandbuch.

MFAbietet zusätzliche Sicherheit, sodass Benutzer zusätzlich zu ihren Anmeldedaten eine eindeutige Authentifizierung über einen AWS unterstützten MFA Mechanismus angeben müssen, wenn sie auf AWS Websites oder Dienste zugreifen.

MFATypen

AWS unterstützt die folgenden MFA Typen:

Hauptschlüssel und Sicherheitsschlüssel

AWS Identity and Access Management unterstützt Hauptschlüssel und Sicherheitsschlüssel für. MFA Auf der Grundlage von FIDO Standards verwenden Hauptschlüssel Kryptografie mit öffentlichen Schlüsseln, um eine starke, gegen Phishing resistente Authentifizierung bereitzustellen, die sicherer ist als Passwörter. AWS unterstützt zwei Arten von Hauptschlüsseln: gerätegebundene Hauptschlüssel (Sicherheitsschlüssel) und synchronisierte Hauptschlüssel.

  • Sicherheitsschlüssel: Dabei handelt es sich um physische Geräte, wie z. B. a YubiKey, die als zweiter Faktor für die Authentifizierung verwendet werden. Ein einziger Sicherheitsschlüssel kann mehrere Root-Benutzerkonten und IAM Benutzer unterstützen.

  • Synchronisierte Hauptschlüssel: Diese verwenden Anmeldeinformationsmanager von Anbietern wie Google, Apple, Microsoft-Konten und Drittanbieterdiensten wie 1Password, Dashlane und Bitwarden als zweiten Faktor.

Sie können integrierte biometrische Authentifikatoren wie Touch ID auf Apple verwenden, um Ihren Anmeldeinformationsmanager zu entsperren MacBooks und sich dort anzumelden. AWS Passkeys werden mit deinem ausgewählten Anbieter mithilfe deines Fingerabdrucks, deines Gesichts oder deines Geräts erstellt. PIN Sie können Hauptschlüssel auf Ihren Geräten synchronisieren, um die Anmeldung zu erleichtern und so die Benutzerfreundlichkeit und Wiederherstellbarkeit zu AWS verbessern.

IAMunterstützt keine lokale Hauptschlüsselregistrierung für Windows Hello. Um Hauptschlüssel zu erstellen und zu verwenden, sollten Windows-Benutzer die geräteübergreifende Authentifizierung () verwenden. CDA Sie können einen CDA Hauptschlüssel von einem Gerät verwenden, z. B. ein Mobilgerät oder einen Hardwaresicherheitsschlüssel, um sich auf einem anderen Gerät wie einem Laptop anzumelden.

Die FIDO Alliance führt eine Liste aller FIDOzertifizierten Produkte, die mit den FIDO Spezifikationen kompatibel sind.

Weitere Informationen zur Aktivierung von Hauptschlüsseln und Sicherheitsschlüsseln finden Sie unterAktivieren Sie einen Hauptschlüssel oder Sicherheitsschlüssel für den Root-Benutzer (Konsole).

Anwendungen für virtuelle Authentifikatoren

Eine virtuelle Authentifizierungsanwendung wird auf einem Telefon oder einem anderen Gerät ausgeführt und emuliert ein physisches Gerät. Apps für virtuelle Authentifikatoren implementieren den zeitbasierten Einmalpasswort-Algorithmus (TOTP) und unterstützen mehrere Token auf einem einzigen Gerät. Der Benutzer muss einen gültigen Code auf dem Gerät eingeben, wenn er bei der Anmeldung dazu aufgefordert wird. Jedes einem Benutzer zugewiesene Token muss eindeutig sein. Ein Benutzer kann zur Authentifizierung keinen Code aus dem Token eines anderen Benutzers eingeben.

Wir empfehlen Ihnen, ein virtuelles MFA Gerät zu verwenden, während Sie auf die Genehmigung des Hardwarekaufs warten oder bis Ihre Hardware eintrifft. Eine Liste einiger unterstützter Apps, die Sie als virtuelle MFA Geräte verwenden können, finden Sie unter Multi-Faktor-Authentifizierung (MFA).

Anweisungen zum Einrichten eines virtuellen MFA Geräts für einen IAM Benutzer finden Sie unterWeisen Sie ein virtuelles MFA Gerät zu in der AWS Management Console.

TOTPHardware-Token

Ein Hardwaregerät generiert einen sechsstelligen numerischen Code, der auf dem zeitbasierten Einmalpasswort (TOTP) -Algorithmus basiert. Der Benutzer muss während der Anmeldung auf einer zweiten Webseite einen gültigen Code von dem Gerät eingeben.

Diese Token werden ausschließlich mit verwendet. AWS-Konten Sie können nur Token verwenden, deren eindeutige Token-Seeds auf sichere Weise gemeinsam genutzt werden AWS. Token-Seeds sind geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Tokens, die aus anderen Quellen gekauft wurden, funktionieren nicht mitIAM. Um die Kompatibilität sicherzustellen, müssen Sie Ihr MFA Hardwaregerät über einen der folgenden Links erwerben: OTPToken OTP oder Grafikkarte.

  • Jedes einem Benutzer zugewiesene MFA Gerät muss einzigartig sein. Ein Benutzer kann keinen Code von einem MFA-Gerät eines anderen Benutzers eingeben, um sich zu authentifizieren. Informationen zu unterstützten MFA Hardwaregeräten finden Sie unter Multi-Faktor-Authentifizierung (MFA).

  • Wenn Sie ein physisches MFA Gerät verwenden möchten, empfehlen wir Ihnen, Sicherheitsschlüssel als Alternative zu TOTP Hardwaregeräten zu verwenden. Sicherheitsschlüssel erfordern keine Batterien, sind phishing-resistent und unterstützen mehrere Benutzer auf einem einzigen Gerät.

Sie können einen Hauptschlüssel oder Sicherheitsschlüssel AWS Management Console nur über die Option oder aktivieren, nicht über die AWS CLI Option oder. AWS API Bevor Sie einen Sicherheitsschlüssel aktivieren können, müssen Sie physischen Zugriff auf das Gerät haben.

Anweisungen zum Einrichten eines TOTP Hardware-Tokens für einen IAM Benutzer finden Sie unterWeisen Sie ein TOTP Hardware-Token zu in AWS Management Console.

Anmerkung

SMSTextnachrichtenbasiert MFA — die Unterstützung für die Aktivierung der SMS Multi-Faktor-Authentifizierung AWS wurde eingestellt (). MFA Wir empfehlen Kunden, deren IAM Benutzer SMS Textnachrichten verwenden, zu einer der folgenden alternativen Methoden zu MFA wechseln: Hauptschlüssel oder Sicherheitsschlüssel, virtuelles (softwarebasiertes) Gerät oder Hardwaregerät. MFA MFA Sie können die Benutzer in Ihrem Konto mit einem zugewiesenen Gerät identifizieren. SMS MFA Wählen Sie in der IAM Konsole im Navigationsbereich Benutzer aus und suchen Sie SMSin der MFATabellenspalte nach Benutzern mit.

MFAEmpfehlungen

Folgen Sie diesen Empfehlungen zur MFA Authentifizierung, um Ihre AWS Identitäten zu schützen.

  • Wir empfehlen, dass Sie mehrere MFA Geräte für die IAM Benutzer Root-Benutzer des AWS-Kontos und in Ihrem AWS-Konten Gerät aktivieren. Auf diese Weise können Sie die Sicherheitslatte in Ihrem System höher legen AWS-Konten und die Verwaltung des Zugriffs für Benutzer mit hohen Rechten vereinfachen, z. B. die Root-Benutzer des AWS-Kontos.

  • Sie können bis zu acht MFA Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA Typen bei Ihnen Root-Benutzer des AWS-Kontos und Ihren IAM Benutzern registrieren. Bei mehreren MFA Geräten benötigen Sie nur ein MFA Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS Management Console oder eine Sitzung über den zu erstellen. Ein IAM Benutzer muss sich mit einem vorhandenen MFA Gerät authentifizieren, um ein zusätzliches MFA Gerät zu aktivieren oder zu deaktivieren.

  • Im Falle eines verlorenen, gestohlenen oder unzugänglichen MFA Geräts können Sie eines der verbleibenden MFA Geräte verwenden, um darauf zuzugreifen, AWS-Konto ohne den AWS-Konto Wiederherstellungsvorgang durchführen zu müssen. Wenn ein MFA Gerät verloren geht oder gestohlen wird, sollte es von dem IAM Hauptgerät getrennt werden, dem es zugeordnet ist.

  • Durch die Verwendung mehrerer Geräte MFAs können Ihre Mitarbeiter an geografisch verteilten Standorten oder von zu Hause aus hardwarebasierten MFA Zugriff verwenden, AWS ohne den physischen Austausch eines einzelnen Hardwaregeräts zwischen den Mitarbeitern koordinieren zu müssen.

  • Durch die Verwendung zusätzlicher MFA Geräte für IAM Principals können Sie eines oder mehrere Geräte MFAs für den täglichen Gebrauch verwenden und gleichzeitig physische MFA Geräte an einem sicheren physischen Ort wie einem Tresor oder einem Safe für Backup und Redundanz aufbewahren.

Hinweise

  • Sie können die MFA Informationen für einen FIDO Sicherheitsschlüssel nicht an AWS STS API Vorgänge weitergeben, um temporäre Anmeldeinformationen anzufordern.

  • Sie können keine AWS CLI Befehle oder AWS API Operationen verwenden, um FIDOSicherheitsschlüssel zu aktivieren.

  • Sie können denselben Namen nicht für mehr als einen Root oder ein IAM MFA Gerät verwenden.

Weitere Ressourcen

Die folgenden Ressourcen können Ihnen helfen, mehr darüber zu erfahren IAMMFA.

  • Weitere Informationen zur Verwendung von MFA To Access AWS finden Sie unterMFAAnmeldung aktiviert.

  • Sie können IAM Identity Center nutzen, um den sicheren MFA Zugriff auf das AWS Zugriffsportal, die integrierten IAM Identity Center-Apps und das zu ermöglichen AWS CLI. Weitere Informationen finden Sie unter MFAIn IAM Identity Center aktivieren.