Utilisation de Multi-Factor Authentication (MFA) dans AWS - AWS Identity and Access Management

Utilisation de Multi-Factor Authentication (MFA) dans AWS

Pour plus de sécurité, nous vous recommandons de configurer l'authentification multi-facteurs (Multi-Factor Authentication, MFA) pour mieux protéger vos ressources AWS. Vous pouvez activer l'authentification MFA pour les utilisateurs IAM ou l' Utilisateur racine Compte AWS . Lorsque vous activez MFA pour l'utilisateur racine, cela affecte uniquement les informations d'identification de l'utilisateur racine. Les utilisateurs IAM du compte sont des identités distinctes avec leurs propres informations d'identification, et chaque identité dispose de sa propre configuration MFA.

Qu'est-ce que l'authentification MFA ?

L'authentification MFA ajoute une couche de sécurité supplémentaire, car elle exige que les utilisateurs fournissent une authentification unique à partir d'un mécanisme MFA pris en charge par AWS, en plus de leurs informations d'identification de connexion classiques lorsqu'ils accèdent à des sites web ou services AWS :

  • Périphériques MFA virtuels Une application logicielle qui s'exécute sur un téléphone ou un autre appareil et qui émule un périphérique physique. Le périphérique génère un code numérique à six chiffres basé sur un algorithme de mot de passe unique synchronisé. L'utilisateur doit saisir un code valide à partir du périphérique sur une deuxième page web lors de la connexion. Chaque périphérique MFA virtuel attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique MFA virtuel d'un autre utilisateur pour s'authentifier. Comme ces applications peuvent s'exécuter sur des appareils mobiles non sécurisés, elles risquent de ne pas offrir le même niveau de sécurité que les appareils U2F ou les appareils MFA matériels. Nous vous recommandons d'utiliser un dispositif MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou pendant que vous attendez de recevoir votre matériel. Pour obtenir une liste des applications que vous pouvez utiliser comme appareils MFA virtuels, consultez Multi-Factor Authentication. Pour plus d'informations sur la configuration d'un périphérique MFA virtuel AWS, consultez Activation d'un appareil Multi-Factor Authentication (MFA) virtuel (console).

  • Clé de sécurité U2F. Un périphérique que vous branchez dans un port USB sur votre ordinateur. U2F est une norme d'authentification ouverte hébergée par FIDO Alliance. Lorsque vous activez une clé de sécurité U2F, vous vous connectez en saisissant vos informations d'identification, puis en utilisant le périphérique au lieu de saisir manuellement un code. Pour plus d'informations sur les clés de sécurité U2F AWS prises en charge, consultez Authentification multi-facteurs. Pour plus d'informations sur la configuration d'une clé de sécurité U2F avec AWS, consultez Activation d'une clé de sécurité U2F (console).

  • Périphérique MFA matériel. Périphérique matériel qui génère un code numérique à six chiffres basé sur un algorithme de mot de passe unique synchronisé. L'utilisateur doit saisir un code valide à partir du périphérique sur une deuxième page web lors de la connexion. Chaque périphérique MFA attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d'informations sur les appareils MFA matériels pris en charge, consultez Authentification multi-facteurs. Pour plus d'informations sur la configuration d'un périphérique MFA matériel avec AWS, consultez Activation d'un appareil MFA physique (console).

  • MFA basé sur les SMS. Type de MFA dans lequel les paramètres de l'utilisateur IAM incluent le numéro de téléphone de l'appareil mobile compatible SMS de l'utilisateur. Lorsque l'utilisateur se connecte, AWS envoie un code numérique à six chiffres par SMS à l'appareil mobile de l'utilisateur. L'utilisateur doit taper ce code sur une deuxième page web lors de la connexion. Notez que MFA basé sur SMS est disponible uniquement pour les utilisateurs IAM. Vous ne pouvez pas utiliser ce type de MFA avec l'Utilisateur racine Compte AWS . Pour plus d'informations sur l'activation de MFA basé sur SMS, consultez EVALUATION - Activation d'appareils MFA basés sur SMS.

    Note

    AWS va bientôt cesser de prendre en charge l'authentification multi-facteurs (MFA) par SMS. Nous n'autorisons pas les nouveaux clients à utiliser la version préliminaire de cette fonction. Nous recommandons aux clients existants de passer à l'une des autres méthodes MFA suivantes : périphérique MFA virtuel (basé sur le logiciel), clé de sécurité U2F ou périphérique MFA matériel. Vous pouvez afficher les utilisateurs dans votre compte avec un périphérique MFA SMS affecté. Pour ce faire, accédez à la console IAM, choisissez Utilisateurs dans le panneau de navigation, puis recherchez les utilisateurs avec SMS mentionné dans la colonne MFA de la table.

Pour obtenir des réponses aux questions courantes concernant AWS MFA, accédez aux FAQ sur AWS Multi-Factor Authentication.