Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation d'une clé de sécurité FIDO (console)
Les clés de sécurité FIDO sont un type de dispositif d'authentification multifactorielle (MFA) que vous pouvez utiliser pour protéger vos ressources. AWS Vous branchez votre clé de sécurité FIDO dans un port USB sur votre ordinateur et vous l'activez à l'aide des instructions qui suivent. Une fois que vous l'avez activée, tapez son nom lorsque vous êtes invité à terminer le processus de connexion en toute sécurité. Si vous utilisez déjà une clé de sécurité FIDO avec d'autres services et que sa configuration est AWS prise en charge (par exemple, la série YubiKey 5 de Yubico), vous pouvez également l'utiliser avec. AWS Sinon, vous devez acheter une clé de sécurité FIDO si vous souhaitez l'utiliser WebAuthn pour l'entrée AWS MFA. De plus, les clés de sécurité FIDO peuvent prendre en charge plusieurs utilisateurs IAM ou root sur le même appareil, ce qui améliore leur utilité pour la sécurité des comptes. Pour connaître les spécifications et les informations d'achat de ces deux types d'appareils, consultez authentification multifacteur
FIDO2 est une norme d'authentification ouverte et une extension de FIDO U2F, offrant le même niveau de sécurité élevé basé sur la cryptographie à clé publique. FIDO2 comprend la spécification d'authentification Web (WebAuthn API) du W3C et le protocole CTAP (Client-to-Authenticator Protocol) de l'Alliance FIDO, un protocole de couche application. CTAP permet la communication entre le client ou la plateforme, comme un navigateur ou un système d'exploitation, avec un authentificateur externe. Lorsque vous activez un authentificateur certifié FIDO AWS, la clé de sécurité FIDO crée une nouvelle paire de clés à utiliser uniquement. AWS Tout d'abord, saisissez vos informations d'identification. Lorsque vous y êtes invité, insérez la clé de sécurité FIDO, qui répond à la stimulation d'authentification émise par AWS. Pour en savoir plus sur la norme FIDO2, veuillez consulter la rubrique Projet FIDO2
Vous pouvez enregistrer jusqu'à huit appareils MFA de n'importe quelle combinaison des types MFA actuellement pris en charge
Note
Nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès à AWS. Vos utilisateurs peuvent se fédérer AWS auprès d'un fournisseur d'identité où ils s'authentifient à l'aide de leurs identifiants d'entreprise et de leurs configurations MFA. Pour gérer l'accès aux applications professionnelles AWS et à celles-ci, nous vous recommandons d'utiliser IAM Identity Center. Pour plus d'informations, consultez le Guide de l'utilisateur IAM Identity Center.
Rubriques
Autorisations nécessaires
Pour gérer une clé de sécurité FIDO pour votre propre utilisateur IAM tout en protégeant les actions sensibles liées à MFA, vous devez disposer des autorisations de la politique suivante :
Note
Les valeurs ARN sont des valeurs statiques et n'indiquent pas le protocole qui a été utilisé pour enregistrer l'authentificateur. Nous avons déconseillé U2F, donc toutes les nouvelles implémentations l'utilisent. WebAuthn
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }
Activation d'une clé de sécurité FIDO pour votre propre utilisateur IAM (console)
Vous pouvez activer une clé de sécurité FIDO pour votre propre utilisateur IAM AWS Management Console uniquement, et non depuis l'API AWS CLI or AWS .
Note
Avant d'activer une clé de sécurité FIDO, vous devez disposer d'un accès physique au périphérique.
Note
Vous ne devez choisir aucune des options disponibles dans la fenêtre contextuelle de Google Chrome qui vous demande Verify your identity with amazon.com (Vérifiez votre identité auprès d'amazon.com). Il vous suffit d'appuyer sur la clé de sécurité.
Pour activer une clé de sécurité FIDO pour votre propre utilisateur IAM (console)
-
Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console IAM
. Note
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez Sign in to a different account (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.
Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.
-
Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis Security credentials (Informations d'identification de sécurité).
-
Dans l'onglet Informations d'identification AWS IAM, sous la section Authentification multifactorielle (MFA), sélectionnez Attribuer le dispositif MFA.
-
Dans l'assistant, tapez le nom du dispositif, choisissez Security Key (Clé de sécurité), puis Next (Suivant).
-
Insérez la clé de sécurité FIDO dans le port USB de votre ordinateur.
-
Tapez la clé de sécurité FIDO.
La clé de sécurité FIDO est prête à être utilisée avec AWS. Pour plus d'informations sur l'utilisation de la MFA avec le AWS Management Console, consultez. Utilisation de dispositifs MFA avec votre page de connexion IAM
Activation d'une clé de sécurité FIDO pour un autre utilisateur IAM (console)
Vous pouvez activer une clé de sécurité FIDO pour un autre utilisateur IAM AWS Management Console uniquement, et non depuis l'API AWS CLI or AWS .
Pour activer une clé de sécurité FIDO pour un autre utilisateur IAM (console)
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez utilisateurs.
-
Choisissez le nom de l'utilisateur pour lequel vous souhaitez activer l'authentification MFA.
-
Choisissez l'onglet Informations d'identification de sécurité. Dans la section Multi-Factor Authentication (MFA) (Authentification multifactorielle (MFA)), sélectionnez Assign MFA device (Attribuer un dispositif MFA).
-
Dans l'assistant, tapez le nom du dispositif, choisissez Security Key (Clé de sécurité), puis Next (Suivant).
-
Insérez la clé de sécurité FIDO dans le port USB de votre ordinateur.
-
Tapez la clé de sécurité FIDO.
La clé de sécurité FIDO est prête à être utilisée avec AWS. Pour plus d'informations sur l'utilisation de la MFA avec le AWS Management Console, consultez. Utilisation de dispositifs MFA avec votre page de connexion IAM
Remplacement d'une clé de sécurité FIDO
Vous pouvez attribuer jusqu'à huit appareils MFA de n'importe quelle combinaison des types MFA actuellement pris en
-
Pour désactiver le dispositif actuellement associé à un autre utilisateur IAM, veuillez consulter la rubrique Désactivation des dispositifs MFA.
-
Pour ajouter une nouvelle clé de sécurité FIDO pour un utilisateur IAM, veuillez consulter Activation d'une clé de sécurité FIDO pour votre propre utilisateur IAM (console).
Si vous n'avez pas accès à une nouvelle clé de sécurité FIDO, vous pouvez activer un nouveau dispositif MFA virtuel ou jeton TOTP matériel. Pour plus d'informations, consultez l'un des liens suivants :
