Von AWS unterstützte FIDO2-Geräte Browser, die FIDO2 unterstützen Gerätezertifizierungen AWS CLI und AWS API Weitere Ressourcen

Unterstützte Konfigurationen für die Verwendung von FIDO-Sicherheitsschlüsseln

Sie können FIDO2-Sicherheitsschlüssel als Multi-Faktor-Authentifizierungsmethode (MFA) mit IAM verwenden, die derzeit unterstützte Konfigurationen verwendet. Dazu gehören FIDO2-Geräte, die von IAM unterstützt werden, und Browser, die FIDO2 unterstützen. Bevor Sie Ihr FIDO2-Gerät registrieren, überprüfen Sie, ob Sie die neueste Browser- und Betriebssystemversion (OS) verwenden. Funktionen können sich in verschiedenen Browsern, Authentifikatoren und Betriebssystem-Clients unterschiedlich verhalten. Wenn Ihre Geräteregistrierung in einem Browser fehlschlägt, können Sie versuchen, sich bei einem anderen Browser zu registrieren.

Von AWS unterstützte FIDO2-Geräte

IAM unterstützt FIDO2-Sicherheitsgeräte, die über USB, Bluetooth oder Bol eine Verbindung zu Ihren Geräten herstellen. Wir unterstützen keine Plattform-Authentifikatoren wie TouchID, FaceID oder Windows Hello.

Anmerkung

AWS erfordert Zugriff auf den physischen USB-Port Ihres Computers, um Ihr FIDO2-Gerät zu überprüfen. FIDO2-Sicherheitsschlüssel funktionieren nicht mit einer virtuellen Maschine, einer Remote-Verbindung oder dem Inkognitomodus eines Browsers.

Die FIDO Alliance führt eine Liste aller FIDO2-Produkte, die mit den FIDO-Spezifikationen kompatibel sind.

Browser, die FIDO2 unterstützen

Die Verfügbarkeit von FIDO2-Sicherheitsgeräten, die in einem Webbrowser ausgeführt werden, hängt von der Kombination aus Browser und Betriebssystem ab. Die folgenden Browser unterstützen derzeit die Verwendung von FIDO2-Sicherheitsschlüsseln:

	macOS 10.15+	Windows 10	Linux	iOS 14.5+	Android 7+
Chrome	Ja	Ja	Ja	Ja	Nein
Safari	Ja	Nein	Nein	Ja	Nein
Edge	Ja	Ja	Nein	Ja	Nein
Firefox	Ja	Ja	Nein	Ja	Nein

Anmerkung

Die meisten Firefox-Versionen, die derzeit FIDO2 unterstützen, aktivieren die Unterstützung standardmäßig nicht. Anweisungen zum Aktivieren der FIDO2-Unterstützung in Firefox finden Sie unter Fehlerbehebung von FIDO-Sicherheitsschlüsseln.

Weitere Informationen zur Browserunterstützung für ein FIDO2-certified Gerät wie YubiKeyfinden Sie unter Betriebssystem- und Webbrowserunterstützung für FIDO2 und U2F.

Browser-Plugins

AWS unterstützt nur Browser, die FIDO2. AWS doesn nativ unterstützen, nicht die Verwendung von Plugins zum Hinzufügen von FIDO2-Browserunterstützung. Einige Browser-Plugins sind nicht mit dem FIDO2-Standard kompatibel und können zu unerwarteten Ergebnissen mit FIDO2-Sicherheitsschlüsseln führen.

Weitere Informationen zum Deaktivieren von Browser-Plugins und andere Tipps zur Fehlerbehebung finden Sie unter Ich kann meinen FIDO-Sicherheitsschlüssel nicht aktivieren.

Gerätezertifizierungen

Wir erfassen und weisen gerätespezifische Zertifizierungen wie die FIPS-Validierung und die FIDO-Zertifizierungsstufe nur während der Registrierung eines FIDO-Sicherheitsschlüssels zu. Ihre Gerätezertifizierung wird vom FIDO Alliance Metadata Service (MDS) abgerufen. Wenn sich der Zertifizierungsstatus oder die Stufe Ihres FIDO-Sicherheitsschlüssels ändert, wird dies nicht automatisch in den Geräte-Tags wiedergegeben. Um die Zertifizierungsinformationen eines Geräts zu aktualisieren, registrieren Sie das Gerät erneut, um die aktualisierten Zertifizierungsinformationen abzurufen.

AWS stellt bei der Geräteregistrierung die folgenden Zertifizierungstypen als Bedingungsschlüssel bereit, die aus dem FIDO MDS abgerufen werden: FIPS-140-2, FIPS-140-3 und FIDO-Zertifizierungsstufen. Sie haben die Möglichkeit, die Registrierung bestimmter Authentifikatoren in ihren IAM-Richtlinien festzulegen, basierend auf Ihrem bevorzugten Zertifizierungstyp und Ihrer bevorzugten Zertifizierungsstufe. Weitere Informationen finden Sie unten unter „Richtlinien“.

Beispielrichtlinien für Gerätezertifizierungen

Die folgenden Anwendungsfälle zeigen Beispielrichtlinien, mit denen Sie MFA-Geräte mit FIPS-Zertifizierungen registrieren können.

Themen

Anwendungsfall 1: Nur die Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2-Zertifizierung verfügen
Anwendungsfall 2: Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2- und FIDO-L1-Zertifizierung verfügen
Anwendungsfall 3: Registrierung von Geräten zulassen, die entweder über eine FIPS-140-2-L2- oder eine FIPS-140-3-L2-Zertifizierung verfügen
Anwendungsfall 4: Ermöglichen Sie die Registrierung von Geräten, die über eine FIPS-140-2-L2-Zertifizierung verfügen und andere MFA-Typen wie virtuelle Authentifikatoren und Hardware-TOTP unterstützen

Anwendungsfall 1: Nur die Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2-Zertifizierung verfügen


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}

Anwendungsfall 2: Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2- und FIDO-L1-Zertifizierung verfügen


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}

Anwendungsfall 3: Registrierung von Geräten zulassen, die entweder über eine FIPS-140-2-L2- oder eine FIPS-140-3-L2-Zertifizierung verfügen


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}

Anwendungsfall 4: Ermöglichen Sie die Registrierung von Geräten, die über eine FIPS-140-2-L2-Zertifizierung verfügen und andere MFA-Typen wie virtuelle Authentifikatoren und Hardware-TOTP unterstützen


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Activate",
                    "iam:FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iam:RegisterSecurityKey": "true"
                }
            }
        }
    ]
}

AWS CLI und AWS API

AWS unterstützt die Verwendung von FIDO2-Sicherheitsschlüsseln nur in der AWS Management Console. Die Verwendung von FIDO2-Sicherheitsschlüsseln für MFA wird in der AWS CLI und AWS -API oder für den Zugriff auf MFA-geschützte API-Vorgänge nicht unterstützt.

Weitere Ressourcen

Weitere Informationen zur Verwendung von FIDO2-Sicherheitsschlüsseln in finden Sie AWSunter Aktivieren eines FIDO-Sicherheitsschlüssels (Konsole).
Hilfe zur Fehlerbehebung bei FIDO2-Sicherheitsschlüsseln in finden Sie AWSunter Fehlerbehebung von FIDO-Sicherheitsschlüsseln.
Allgemeine Brancheninformationen zur FIDO2-Unterstützung finden Sie unter FIDO2 Project.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktivieren eines FIDO-Sicherheitsschlüssels (Konsole)

Aktivieren eines Hardware-TOTP-Tokens (Konsole)