Utilisation de l'authentification multifactorielle (MFA) dans AWS - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de l'authentification multifactorielle (MFA) dans AWS

Pour une sécurité accrue, nous vous recommandons de configurer l'authentification multifactorielle (MFA) afin de protéger AWS vos ressources. Vous pouvez activer le MFA pour les utilisateurs Utilisateur racine d'un compte AWS et IAM. Lorsque vous activez l'authentification MFA pour l'utilisateur root, cela affecte uniquement les informations d'identification de l'utilisateur root. Les utilisateurs IAM du compte sont des identités distinctes avec leurs propres informations d'identification, et chaque identité dispose de sa propre configuration MFA.

Vous pouvez enregistrer jusqu'à huit dispositifs MFA de n'importe quelle combinaison des types MFA actuellement pris en charge avec votre Utilisateur racine d'un compte AWS et les utilisateurs IAM. Pour obtenir plus d'informations sur le types MFA pris en charge, consultez Types de MFA disponibles pour les utilisateurs d'IAM. Avec plusieurs appareils MFA, un seul appareil MFA est nécessaire pour se connecter AWS Management Console ou créer une session via cet utilisateur. AWS CLI

Note

Nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès AWS. Avez-vous envisagé d'en utiliser AWS IAM Identity Center ? Vous pouvez utiliser IAM Identity Center pour gérer de manière centralisée l'accès à plusieurs comptes Comptes AWS et fournir aux utilisateurs un accès par authentification unique protégé par le MFA à tous les comptes qui leur sont attribués à partir d'un seul endroit. Avec IAM Identity Center, vous pouvez créer et gérer les identités des utilisateurs dans IAM Identity Center ou vous connecter facilement à votre fournisseur d'identité compatible SAML 2.0 existant. Pour plus d'informations, consultez Qu'est-ce que IAM Identity Center ? dans le Guide de l'utilisateur AWS IAM Identity Center .

Types de MFA disponibles pour les utilisateurs d'IAM

La MFA renforce la sécurité car elle oblige les utilisateurs à fournir une authentification unique à partir d'un mécanisme AWS MFA compatible en plus de leurs informations de connexion habituelles lorsqu'ils accèdent à des sites Web ou à des services. AWS AWS prend en charge les types MFA suivants : clés d'accès et clés de sécurité, applications d'authentification virtuelle et jetons TOTP matériels.

Clés d'accès et clés de sécurité

AWS Identity and Access Management prend en charge les clés d'accès et les clés de sécurité pour la MFA. Basées sur les normes FIDO, les clés d'accès utilisent la cryptographie à clé publique pour fournir une authentification solide, résistante au hameçonnage et plus sécurisée que les mots de passe. AWS prend en charge deux types de clés d'accès : les clés d'accès liées à l'appareil (clés de sécurité) et les clés d'accès synchronisées.

  • Clés de sécurité : il s'agit de périphériques physiques YubiKey, tels que a, utilisés comme deuxième facteur d'authentification. Une clé de sécurité unique peut prendre en charge plusieurs comptes utilisateur root et utilisateurs IAM.

  • Clés d'accès synchronisées : elles utilisent des gestionnaires d'identifiants provenant de fournisseurs tels que Google, Apple, Microsoft et de services tiers tels que 1Password, Dashlane et Bitwarden comme deuxième facteur.

Vous pouvez utiliser des authentificateurs biométriques intégrés, tels que Touch ID sur Apple MacBooks, pour déverrouiller votre gestionnaire d'identifiants et vous y connecter. AWS Les clés d'accès sont créées avec le fournisseur de votre choix à l'aide de votre empreinte digitale, de votre visage ou du code PIN de votre appareil. Vous pouvez synchroniser les clés d'accès sur tous vos appareils pour faciliter les connexions et améliorer la convivialité AWS et la récupérabilité.

IAM ne prend pas en charge l'enregistrement de clés d'accès locales pour Windows Hello. Pour créer et utiliser des clés d'accès, les utilisateurs de Windows doivent utiliser l'authentification multi-appareils, qui consiste à utiliser une clé d'accès provenant d'un appareil, comme un appareil mobile, ou une clé de sécurité matérielle pour se connecter sur un autre appareil, tel qu'un ordinateur portable.

La FIDO Alliance tient à jour une liste de tous les produits certifiés FIDO qui sont compatibles avec les spécifications FIDO. Pour plus d'informations sur l'activation des clés d'accès et des clés de sécurité, consultezActiver une clé d'accès ou une clé de sécurité pour la Utilisateur racine d'un compte AWS (console).

Applications d'authentification virtuelle

Une application d'authentification virtuelle s'exécute sur un téléphone ou un autre appareil et émule un appareil physique. Les applications d'authentification virtuelle mettent en œuvre l'algorithme TOTP (mot de passe unique à durée limitée) et prennent en charge plusieurs jetons sur un seul dispositif. L'utilisateur doit saisir un code valide sur l'appareil lorsqu'il y est invité lors de la connexion. Chaque jeton attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir de code à partir du jeton d'un autre utilisateur pour s'authentifier.

Nous vous recommandons d'utiliser un dispositif MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou pendant que vous attendez de recevoir votre matériel. Pour obtenir la liste de quelques applications prises en charge que vous pouvez utiliser comme appareils MFA virtuels, consultez la section Multi-Factor Authentication (MFA). Pour obtenir des instructions sur la configuration d'un périphérique MFA virtuel pour un utilisateur IAM, consultez. Activation d'un appareil Multi-Factor Authentication (MFA) virtuel (console)

Tokens TOTP matériels

Un périphérique matériel génère un code numérique à six chiffres basé sur l'algorithme TOTP (mot de passe à usage unique basé sur le temps). L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion. Chaque dispositif MFA attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d'informations sur les dispositifs matériels MFA pris en charge, consultez la section Multi-Factor Authentication (MFA). Pour obtenir des instructions sur la configuration d'un jeton TOTP matériel pour un utilisateur IAM, consultez. Activation d'un jeton TOTP matériel (console)

Si vous souhaitez utiliser un périphérique MFA physique, nous vous recommandons d'utiliser des clés de sécurité comme alternative aux périphériques TOTP matériels. Les clés de sécurité offrent l'avantage de ne pas nécessiter de batterie, de résister au phishing et de prendre en charge plusieurs utilisateurs root et IAM sur un seul appareil pour une sécurité renforcée.

Note

MFA basé sur les SMS : AWS a cessé de prendre en charge l'authentification multifactorielle (MFA) par SMS. Nous recommandons aux clients dont les utilisateurs IAM utilisent l'authentification MFA basée sur des SMS de passer à l'une des méthodes alternatives suivantes : clé d'accès ou clé de sécurité, périphérique MFA virtuel (logiciel) ou périphérique MFA matériel. Vous pouvez identifier les utilisateurs dans votre compte avec un dispositif MFA SMS affecté. Pour ce faire, accédez à la console IAM, choisissez Utilisateurs dans le panneau de navigation, puis recherchez les utilisateurs avec SMS mentionné dans la colonne MFA de la table.