Activation d'une clé de sécurité FIDO (console) - AWS Identity and Access Management

Activation d'une clé de sécurité FIDO (console)

Les clés de sécurité FIDO sont un type de dispositif MFA que vous pouvez utiliser pour protéger vos ressources AWS. Vous branchez votre clé de sécurité FIDO dans un port USB sur votre ordinateur et vous l'activez à l'aide des instructions qui suivent. Une fois que vous l'avez activée, tapez son nom lorsque vous êtes invité à terminer le processus de connexion en toute sécurité. Si vous utilisez déjà une clé de sécurité FIDO avec d'autres services et qu'elle possède une configuration AWS prise en charge (par exemple, la série Yubikey 5 de Yubico), vous pouvez également l'utiliser avec AWS. Sinon, vous devez acheter une clé de sécurité FIDO2 si vous souhaitez utiliser Webauthn pour l'authentification MFA dans AWS. Pour connaître les spécifications et les informations d'achat, consultez authentification multifacteur.

FIDO2 est une norme d'authentification ouverte et une extension de FIDO U2F, offrant le même niveau de sécurité élevé basé sur la cryptographie à clé publique. FIDO2 comprend la spécification d'authentification Web du W3C (WebAuthn API) et le protocole Client to Authentication Protocol (CTAP), un protocole de couche d'application. CTAP permet la communication entre le client ou la plateforme, comme un navigateur ou un système d'exploitation, avec un authentificateur externe. Vous pouvez continuer à utiliser des appareils compatibles FIDO, tels que les clés de sécurité FIDO U2F. Lorsque vous activez un authentificateur conforme à FIDO dans AWS, la clé de sécurité FIDO crée une nouvelle key pair à n'utiliser qu'avec AWS. Tout d'abord, saisissez vos informations d'identification. Lorsque vous y êtes invité, insérez la clé de sécurité FIDO, qui répond à la stimulation d'authentification émise par AWS. Pour en savoir plus sur la norme FIDO2, veuillez consulter la rubrique Projet FIDO2.

Vous pouvez activer un seul dispositif MFA (de n'importe quel type) par utilisateur racine ou utilisateur IAM.

Autorisations nécessaires

Pour gérer une clé de sécurité FIDO pour votre propre utilisateur IAM tout en protégeant les actions sensibles liées à MFA, vous devez disposer des autorisations de la politique suivante :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Activation d'une clé de sécurité FIDO pour votre propre utilisateur IAM (console)

Vous ne pouvez activer une clé de sécurité FIDO pour votre propre utilisateur IAM qu'à partir de l'AWS Management Console, et pas à partir de l'AWS CLI ou de l'API AWS.

Note

Avant d'activer une clé de sécurité FIDO, vous devez disposer d'un accès physique au périphérique.

Note

Vous ne devez choisir aucune des options disponibles dans la fenêtre contextuelle de Google Chrome qui vous demande Verify your identity with amazon.com (Vérifiez votre identité auprès d'amazon.com). Il vous suffit d'appuyer sur la clé de sécurité.

Pour activer une clé de sécurité FIDO pour votre propre utilisateur IAM (console)
  1. Utilisez votre ID ou alias de compte AWS, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console IAM.

    Note

    Pour plus de commodité, la page de connexion à AWS utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et vos informations de compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez Sign in to a different account (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. Sur cette page, vous pouvez saisir votre ID ou alias de compte AWS pour être redirigé vers la page de connexion de l'utilisateur IAM de votre compte.

    Pour obtenir votre ID de compte AWS, contactez votre administrateur.

  2. Dans la barre de navigation en haut à droite, choisissez votre nom d'utilisateur, puis My Security Credentials (Mes informations d'identification de sécurité).

    
            Lien My Security Credentials (Mes informations d'identification de sécurité) de la Console de gestion AWS
  3. Dans l'onglet AWS IAM credentials (Informations d'identification AWS IAM), sous la section Multi-factor authentication (Authentification multi-facteur), sélectionnez Manage MFA device (Gérer le dispositif MFA).

  4. Dans l'assistant Manage MFA device (Gérer le dispositif MFA), choisissez FIDO security key (Clé de sécurité FIDO), puis Continue (Continuer).

  5. Insérez la clé de sécurité FIDO dans le port USB de votre ordinateur.

    
            Clé de sécurité FIDO
  6. Tapez le nom de la clé de sécurité FIDO2, puis choisissez Close (Fermer) lorsque l'installation est terminée.

La clé de sécurité FIDO2 est prête à être utilisée avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'interface AWS Management Console, veuillez consulter Utilisation de dispositifs MFA avec votre page de connexion IAM.

Activation d'une clé de sécurité FIDO pour un autre utilisateur IAM (console)

Vous ne pouvez activer une clé de sécurité FIDO pour un autre utilisateur IAM qu'à partir de l'AWS Management Console, et pas à partir de l'AWS CLI ou de l'API AWS.

Pour activer une clé de sécurité FIDO pour un autre utilisateur IAM (console)
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur pour lequel vous voulez activer la fonction MFA, puis choisissez l'onglet Security credentials (informations d'identification de sécurité).

  4. En regard de Assigned MFA device (Dispositif MFA affecté), choisissez Manage (Gérer).

  5. Dans l'assistant Manage MFA device (Gérer le dispositif MFA), choisissez FIDO security key (Clé de sécurité FIDO), puis Continue (Continuer).

  6. Insérez la clé de sécurité FIDO dans le port USB de votre ordinateur.

    
            Clé de sécurité FIDO
  7. Tapez le nom de la clé de sécurité FIDO, puis choisissez Close (Fermer) lorsque l'installation est terminée.

La clé de sécurité FIDO est prête à être utilisée avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'interface AWS Management Console, veuillez consulter Utilisation de dispositifs MFA avec votre page de connexion IAM.

Activer une clé de sécurité FIDO pour l'utilisateur root du compte AWS (console)

Vous pouvez configurer et activer un dispositif MFA virtuel pour votre utilisateur racine à partir de la section AWS Management Console uniquement, et pas à partir de l'API AWS CLI ou AWS.

Si votre clé de sécurité FIDO est perdue, volée ou si elle cesse de fonctionner, vous pouvez toujours vous connecter à l'aide d'autres facteurs d'authentification. Pour en savoir plus sur la connexion à l'aide d'autres facteurs d'authentification, consultez Que faire si un dispositif MFA est perdu ou cesse de fonctionner ?. Pour désactiver cette fonction, contactez AWS Support.

Pour activer la clé FIDO pour votre utilisateur root (console)
  1. Connectez-vous à la console IAM en tant que propriétaire du compte en choisissant Root user (Utilisateur racine) et en saisissant votre adresse e-mail Compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Note

    Si trois zones de texte s'affichent, vous vous êtes déjà connecté à la console avec les informations d'identification d'utilisateur IAM. Votre navigateur peut mémoriser cette préférence et ouvrir cette page de connexion spécifique au compte chaque fois que vous essayez de vous connecter. Vous ne pouvez pas utiliser la page de connexion d'utilisateur IAM pour vous connecter en tant que propriétaire du compte. Si la page de connexion d'utilisateur IAM s'affiche, choisissez Se connecter à l'aide de la messagerie utilisateur racine en bas de la page. Vous êtes alors redirigé vers la page de connexion principale. Sur cette page, vous pouvez vous connecter en tant qu'utilisateur racine, en utilisant votre adresse e-mail et le mot de passe Compte AWS.

  2. À droite de la barre de navigation, sélectionnez le nom de votre compte, puis My Security Credentials (Mes informations d'identification de sécurité). Au besoin, choisissez Passer aux informations d'identification de sécurité.

    
            Mes informations d'identification de sécurité dans le menu de navigation
  3. Développez la section Multi-factor authentication (MFA) (authentification multi-facteur (MFA)).

  4. Choisissez Gérer MFA ou Activer MFA, en fonction de l'option choisie à l'étape précédente.

  5. Dans l'assistant, choisissez FIDO security key (Clé de sécurité FIDO), puis Continue (Continuer).

  6. Insérez la clé de sécurité FIDO dans le port USB de votre ordinateur.

    
            Clé de sécurité FIDO
  7. Tapez le nom de la clé de sécurité FIDO, puis choisissez Close (Fermer) lorsque l'installation est terminée.

La clé de sécurité FIDO est prête à être utilisée avec AWS. La prochaine fois que vous utiliserez les informations d'identification de votre utilisateur root, vous devrez taper le nom de votre clé de sécurité FIDO pour terminer le processus du connexion.

Remplacement d'une clé de sécurité FIDO

Il ne peut y avoir qu'un seul dispositif MFA (virtuel, matériel ou clé de sécurité FIDO) attribué à un utilisateur à la fois. Si l'utilisateur perd un authentificateur conforme à FIDO ou a besoin de le remplacer pour une raison quelconque, vous devez tout d'abord désactiver l'ancien authentificateur conforme à FIDO. Vous pouvez alors ajouter un nouveau dispositif MFA pour l'utilisateur.

Si vous n'avez pas accès à une nouvelle clé de sécurité FIDO, vous pouvez activer un nouveau dispositif MFA virtuel ou matériel. Pour plus d'informations, consultez l'un des liens suivants :