Multi-Faktor-Authentifizierung - DSGVO-Compliance auf AWS

Multi-Faktor-Authentifizierung

Für zusätzliche Sicherheit können Sie eine Zwei-Faktor-Authentifizierung zu Ihrem AWS-Konto und IAM-Benutzern hinzufügen. Wenn die Multi-Faktor-Authentifizierung (MFA) aktiviert ist, werden Sie bei der Anmeldung bei der AWS-Managementkonsole aufgefordert, Ihren Benutzernamen und Ihr Passwort (der erste Faktor) sowie eine Authentifizierungsantwort von Ihrem AWS-MFA-Gerät (der zweite Faktor) einzugeben. Sie können die MFA für Ihr AWS-Konto und für einzelne IAM-Benutzer aktivieren, die Sie in Ihrem Konto erstellt haben. Sie können die MFA auch verwenden, um den Zugriff auf AWS-Service-APIs zu kontrollieren.

Sie können beispielsweise eine Richtlinie definieren, die vollen Zugriff auf alle AWS-API-Operationen in Amazon EC2 ermöglicht, aber explizit den Zugriff auf bestimmte API-Operationen – wie StopInstances und TerminateInstances – verweigert, wenn der Benutzer nicht mit der MFA authentifiziert ist. 


        {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “AllowAllActionsForEC2”,
                “Effect”: “Allow”,
                “Action”: “ec2:*”,
                “Resource”: “*”
             },
            {
                “Sid”: “DenyStopAndTerminateWhenMFAIsNotPResent”,
                “Effect”: “Deny”,
                “Action”: [
                    “ec2:StopInstances”,
                    “ec2:TerminateInstances”
               ],
               “Resource”: “*”,
               “Conditions”: {
                   “BoolIfExists”: {“aws:MultiFactorAuthPresent”:false}
                }
            }
       }
}

Um Ihren Amazon-S3-Buckets eine zusätzliche Sicherheitsebene hinzuzufügen, können Sie MFA Delete konfigurieren, das eine zusätzliche Authentifizierung erfordert, um den Versioning-Status eines Buckets zu ändern und eine Objektversion dauerhaft zu löschen. MFA Delete bietet zusätzliche Sicherheit für den Fall, dass Ihre Sicherheitsanmeldeinformationen nicht mehr vertrauenswürdig sind.

Um MFA Delete zu nutzen, verwenden Sie ein Hardwaregerät oder ein virtuelles MFA-Gerät, um einen Authentifizierungscode zu generieren. Auf der Seite der Multi-Faktor-Authentifizierung finden Sie eine Liste der unterstützten Hardware oder virtuellen MFA-Geräte.