Utilisation de l'authentification multi-facteur (MFA) dans l’interface AWS - AWS Identity and Access Management

Utilisation de l'authentification multi-facteur (MFA) dans l’interface AWS

Pour plus de sécurité, nous vous recommandons de configurer l'authentification multi-facteur (MFA) pour mieux protéger vos ressources AWS. Vous pouvez activer l'authentification MFA pour les utilisateurs IAM ou l'utilisateur racine Compte AWS. Lorsque vous activez MFA pour l'utilisateur racine, cela affecte uniquement les informations d'identification utilisateur racine. Les utilisateurs IAM du compte sont des identités distinctes avec leurs propres informations d'identification, et chaque identité dispose de sa propre configuration MFA.

Qu'est-ce que l'authentification MFA ?

L'authentification MFA ajoute une couche de sécurité supplémentaire, car elle exige que les utilisateurs fournissent une authentification unique à partir d'un mécanisme MFA pris en charge par AWS, en plus de leurs informations d'identification de connexion classiques lorsqu'ils accèdent à des sites web ou services AWS :

  • Dispositifs MFA virtuels. Une appli logicielle qui s'exécute sur un téléphone ou un autre appareil et qui égale le niveau d’un dispositif physique. Le dispositif génère un code numérique à six chiffres basé sur un algorithme de mot de passe unique synchronisé. L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion. Chaque dispositif MFA virtuel attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du dispositif MFA virtuel d'un autre utilisateur pour s'authentifier. Comme ces applications peuvent s'exécuter sur des appareils mobiles non sécurisés, elles risquent de ne pas offrir le même niveau de sécurité que les appareils U2F ou les dispositifs MFA matériels. Nous vous recommandons d'utiliser un dispositif MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou pendant que vous attendez de recevoir votre matériel. Pour obtenir une liste des applications que vous pouvez utiliser comme dispositifs MFA virtuels, consultez Multi-Factor Authentication. Pour plus d'informations sur la configuration d'un dispositif MFA virtuel AWS, consultez Activation d'un appareil Multi-Factor Authentication (MFA) virtuel (console).

  • Clé de sécurité U2F. Un périphérique que vous branchez dans un port USB sur votre ordinateur. U2F est une norme d'authentification ouverte hébergée par FIDO Alliance. Lorsque vous activez une clé de sécurité U2F, vous vous connectez en saisissant vos informations d'identification, puis en utilisant le périphérique au lieu de saisir manuellement un code. Pour plus d'informations sur les clés de sécurité U2F AWS prises en charge, consultez authentification multifacteur. Pour plus d'informations sur la configuration d'une clé de sécurité U2F avec AWS, consultez Activation d'une clé de sécurité U2F (console).

  • Dispositif MFA matériel. Périphérique matériel qui génère un code numérique à six chiffres basé sur un algorithme de mot de passe unique synchronisé. L'utilisateur doit saisir un code valide à partir du périphérique sur une deuxième page web lors de la connexion. Chaque dispositif MFA attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d'informations sur les dispositifs MFA matériels pris en charge, consultez authentification multifacteur. Pour plus d'informations sur la configuration d'un dispositif MFA matériel avec AWS, consultez Activation d'un dispositif MFA physique (console).

  • MFA basé sur les SMS. Type de MFA dans lequel les paramètres de l'utilisateur IAM incluent le numéro de téléphone de l'appareil mobile compatible SMS de l'utilisateur. Lorsque l'utilisateur se connecte, AWS envoie un code numérique à six chiffres par SMS à l'appareil mobile de l'utilisateur. L'utilisateur doit taper ce code sur une deuxième page web lors de la connexion. Notez que MFA basé sur SMS est disponible uniquement pour les utilisateurs IAM. Vous ne pouvez pas utiliser ce type de MFA avec l'utilisateur racine Compte AWS. Pour plus d'informations sur l'activation de MFA basé sur SMS, consultez ÉVALUATION – activation de dispositifs MFA basés sur SMS.

    Note

    AWS va bientôt cesser de prendre en charge l'authentification multi-facteur (MFA) par SMS. Nous n'autorisons pas les nouveaux clients à utiliser la version préliminaire de cette fonction. Nous recommandons aux clients existants de passer à l'une des autres méthodes MFA suivantes : dispositif MFA virtuel (basé sur le logiciel), clé de sécurité U2F ou dispositif MFA matériel. Vous pouvez afficher les utilisateurs dans votre compte avec un dispositif MFA SMS affecté. Pour ce faire, accédez à la console IAM, choisissez Utilisateurs dans le panneau de navigation, puis recherchez les utilisateurs avec SMS mentionné dans la colonne MFA de la table.

Pour obtenir des réponses aux questions courantes concernant AWS MFA, accédez aux questions fréquentes sur l'authentification multi-facteur AWS.