AWS Authentification multifactorielle dans IAM - AWS Gestion de l’identité et des accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Authentification multifactorielle dans IAM

Pour une sécurité accrue, nous vous recommandons de configurer l'authentification multifactorielle (MFA) afin de protéger vos AWS ressources. Vous pouvez activer MFA pour les IAM utilisateurs Utilisateur racine d'un compte AWS et. Lorsque vous l'activez MFA pour l'utilisateur root, cela n'affecte que les informations d'identification de l'utilisateur root. IAMles utilisateurs du compte sont des identités distinctes dotées de leurs propres informations d'identification, et chaque identité possède sa propre MFA configuration.

Vous Utilisateur racine d'un compte AWS et vos IAM utilisateurs pouvez enregistrer jusqu'à huit MFA appareils de tout type. L'enregistrement de plusieurs MFA appareils peut apporter de la flexibilité et vous aider à réduire le risque d'interruption d'accès en cas de perte ou de panne d'un appareil. Vous n'avez besoin que d'un seul MFA appareil pour vous connecter AWS Management Console ou créer une session via le AWS CLI.

Note

Nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès AWS. Avez-vous envisagé d'en utiliser AWS IAM Identity Center ? Vous pouvez utiliser IAM Identity Center pour gérer de manière centralisée l'accès à plusieurs comptes Comptes AWS et fournir aux utilisateurs un accès MFA sécurisé par authentification unique à tous les comptes qui leur sont attribués à partir d'un seul endroit. Avec IAM Identity Center, vous pouvez créer et gérer les identités des utilisateurs dans IAM Identity Center ou vous connecter facilement à votre fournisseur d'identité compatible SAML 2.0 existant. Pour plus d'informations, consultez Qu'est-ce qu'IAMIdentity Center ? dans le guide de AWS IAM Identity Center l'utilisateur.

MFAajoute une sécurité supplémentaire qui oblige les utilisateurs à fournir une authentification unique à partir d'un MFA mécanisme AWS pris en charge en plus de leurs informations de connexion lorsqu'ils accèdent à des AWS sites Web ou à des services.

MFAtypes

AWS prend en charge les MFA types suivants :

Clés d'accès et clés de sécurité

AWS Identity and Access Management prend en charge les clés d'accès et les clés de sécurité pourMFA. Sur la base FIDO des normes, les clés d'accès utilisent la cryptographie à clé publique pour fournir une authentification solide, résistante au hameçonnage et plus sécurisée que les mots de passe. AWS prend en charge deux types de clés d'accès : les clés d'accès liées à l'appareil (clés de sécurité) et les clés d'accès synchronisées.

  • Clés de sécurité : il s'agit de périphériques physiques YubiKey, tels que a, utilisés comme deuxième facteur d'authentification. Une clé de sécurité unique peut prendre en charge plusieurs comptes et IAM utilisateurs root.

  • Clés d'accès synchronisées : elles utilisent des gestionnaires d'identifiants provenant de fournisseurs tels que Google, Apple, Microsoft et de services tiers tels que 1Password, Dashlane et Bitwarden comme deuxième facteur.

Vous pouvez utiliser des authentificateurs biométriques intégrés, tels que Touch ID sur Apple MacBooks, pour déverrouiller votre gestionnaire d'identifiants et vous y connecter. AWS Les clés d'accès sont créées avec le fournisseur de votre choix à l'aide de votre empreinte digitale, de votre visage ou de votre appareilPIN. Vous pouvez synchroniser les clés d'accès sur tous vos appareils pour faciliter les connexions et améliorer la convivialité AWS et la récupérabilité.

IAMne prend pas en charge l'enregistrement de clés d'accès locales pour Windows Hello. Pour créer et utiliser des clés d'accès, les utilisateurs de Windows doivent utiliser l'authentification multi-appareils ()CDA. Vous pouvez utiliser la CDA clé d'accès d'un appareil, comme un appareil mobile ou une clé de sécurité matérielle, pour vous connecter sur un autre appareil, tel qu'un ordinateur portable.

L'FIDOAlliance tient à jour une liste de tous les produits FIDO certifiés compatibles avec les FIDO spécifications.

Pour plus d'informations sur l'activation des clés d'accès et des clés de sécurité, consultezActiver une clé d'accès ou une clé de sécurité pour l'utilisateur root (console).

Applications d'authentification virtuelle

Une application d'authentification virtuelle s'exécute sur un téléphone ou un autre appareil et émule un appareil physique. Les applications d'authentification virtuelle mettent en œuvre l'algorithme du mot de passe à usage unique (TOTP) basé sur le temps et prennent en charge plusieurs jetons sur un seul appareil. L'utilisateur doit saisir un code valide sur l'appareil lorsqu'il y est invité lors de la connexion. Chaque jeton attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir de code à partir du jeton d'un autre utilisateur pour s'authentifier.

Nous vous recommandons d'utiliser un MFA appareil virtuel en attendant l'approbation de l'achat du matériel ou en attendant l'arrivée de votre matériel. Pour obtenir la liste de quelques applications prises en charge que vous pouvez utiliser comme MFA appareils virtuels, voir Authentification multifactorielle (MFA).

Pour obtenir des instructions sur la configuration d'un MFA périphérique virtuel pour un IAM utilisateur, consultezAttribuez un MFA appareil virtuel dans AWS Management Console.

TOTPJetons matériels

Un périphérique matériel génère un code numérique à six chiffres basé sur l'algorithme du mot de passe à usage unique () TOTP basé sur le temps. L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion.

Ces jetons sont utilisés exclusivement avec Comptes AWS. Vous ne pouvez utiliser que des jetons dont les graines uniques sont partagées en toute sécurité avec AWS. Les graines de jetons sont des clés secrètes générées au moment de la production des jetons. Les jetons achetés auprès d'autres sources ne fonctionneront pas avecIAM. Pour garantir la compatibilité, vous devez acheter votre MFA périphérique via l'un des liens suivants : OTPjeton ou OTPcarte graphique.

  • Chaque MFA appareil attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d'informations sur les MFA périphériques matériels pris en charge, voir Authentification multifactorielle (MFA).

  • Si vous souhaitez utiliser un MFA appareil physique, nous vous recommandons d'utiliser des clés de sécurité comme alternative aux TOTP périphériques matériels. Les clés de sécurité ne nécessitent aucune pile, résistent au phishing et prennent en charge plusieurs utilisateurs sur un seul appareil.

Vous pouvez activer un mot de passe ou une clé de sécurité AWS Management Console uniquement à partir du AWS CLI ou AWS API. Avant de pouvoir activer une clé de sécurité, vous devez avoir un accès physique à l'appareil.

Pour obtenir des instructions sur la configuration d'un TOTP jeton matériel pour un IAM utilisateur, consultezAttribuez un TOTP jeton matériel dans AWS Management Console.

Note

SMSbasé sur un message texte MFA : AWS fin de la prise en charge de l'activation de l'authentification SMS multifactorielle (). MFA Nous recommandons aux clients dont les IAM utilisateurs utilisent la messagerie SMS texte de MFA passer à l'une des méthodes alternatives suivantes : clé d'accès ou clé de sécurité, périphérique virtuel (logiciel) ou MFA périphérique matériel. MFA Vous pouvez identifier les utilisateurs de votre compte à l'aide d'un SMS MFA appareil attribué. Dans la IAM console, choisissez Utilisateurs dans le volet de navigation et recherchez les utilisateurs SMSdans la MFAcolonne du tableau.

MFArecommandations

Pour sécuriser vos AWS identités, suivez ces recommandations d'MFAauthentification.

  • Nous vous recommandons d'activer plusieurs MFA appareils pour les IAM utilisateurs Utilisateur racine d'un compte AWS et de votre Comptes AWS. Cela vous permet de relever la barre de sécurité Comptes AWS et de simplifier la gestion de l'accès aux utilisateurs hautement privilégiés, tels que le Utilisateur racine d'un compte AWS.

  • Vous pouvez enregistrer jusqu'à huit MFA appareils de n'importe quelle combinaison des MFAtypes actuellement pris en charge auprès de vous Utilisateur racine d'un compte AWS et de vos IAM utilisateurs. Avec plusieurs MFA appareils, vous n'avez besoin que d'un seul MFA appareil pour vous connecter AWS Management Console ou créer une session AWS CLI en tant qu'utilisateur. Un IAM utilisateur doit s'authentifier auprès d'un MFA appareil existant pour activer ou désactiver un MFA appareil supplémentaire.

  • En cas de perte, de vol ou d'accès d'un MFA appareil, vous pouvez utiliser l'un des MFA appareils restants pour y accéder Compte AWS sans effectuer la procédure de Compte AWS récupération. Si un MFA appareil est perdu ou volé, il doit être dissocié du IAM principal auquel il est associé.

  • L'utilisation de plusieurs appareils MFAs permet à vos employés travaillant sur des sites géographiquement dispersés ou travaillant à distance d'utiliser un accès basé sur MFA le matériel AWS sans avoir à coordonner l'échange physique d'un seul appareil entre les employés.

  • L'utilisation d'MFAappareils supplémentaires pour IAM les principaux vous permet d'en utiliser un ou plusieurs MFAs pour un usage quotidien, tout en conservant les MFA appareils physiques dans un emplacement physique sécurisé, tel qu'un coffre-fort ou un coffre-fort à des fins de sauvegarde et de redondance.

Remarques
  • Vous ne pouvez pas transmettre les MFA informations relatives à une clé FIDO de sécurité aux AWS STS API opérations qui demandent des informations d'identification temporaires.

  • Vous ne pouvez pas utiliser de AWS CLI commandes ou d' AWS APIopérations pour activer les clés FIDO de sécurité.

  • Vous ne pouvez pas utiliser le même nom pour plusieurs racines ou IAM MFA appareils.

Ressources supplémentaires

Les ressources suivantes peuvent vous aider à en savoir plus sur IAMMFA.

  • Pour plus d'informations sur l'utilisation MFA pour accéder AWS, consultezMFAconnexion activée.

  • Vous pouvez tirer parti IAM d'Identity Center pour permettre MFA un accès sécurisé au portail AWS d'accès, aux applications intégrées IAM d'Identity Center et au AWS CLI. Pour plus d'informations, voir Activer MFA dans IAM Identity Center.