Attribuez un TOTP jeton matériel dans AWS Management Console - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Attribuez un TOTP jeton matériel dans AWS Management Console

Un TOTP jeton matériel génère un code numérique à six chiffres basé sur un algorithme de mot de passe à usage unique () TOTP basé sur le temps. L'utilisateur doit saisir un code valide à partir du périphérique lorsqu'il y est invité lors de la connexion. Chaque MFA appareil attribué à un utilisateur doit être unique ; un utilisateur ne peut pas saisir de code à partir de l'appareil d'un autre utilisateur pour être authentifié. MFAles appareils ne peuvent pas être partagés entre comptes ou utilisateurs.

TOTPLes jetons matériels et les clés FIDO de sécurité sont tous deux des appareils physiques que vous achetez. MFALes périphériques matériels génèrent TOTP des codes d'authentification lorsque vous vous connectez à AWS. Ils utilisent des batteries, qui peuvent avoir besoin d'être remplacées et resynchronisées au fil du temps. AWS FIDOles clés de sécurité, qui utilisent la cryptographie à clé publique, ne nécessitent pas de piles et offrent un processus d'authentification sans faille. Nous vous recommandons d'utiliser des clés de FIDO sécurité pour leur résistance au phishing, ce qui constitue une alternative plus sûre aux TOTP appareils. En outre, les clés FIDO de sécurité peuvent prendre en charge plusieurs utilisateurs IAM ou des utilisateurs root sur le même appareil, ce qui améliore leur utilité pour la sécurité des comptes. Pour connaître les spécifications et les informations d'achat de ces deux types d'appareils, consultez authentification multifacteur.

Vous pouvez activer un TOTP jeton matériel pour un IAM utilisateur à partir de la AWS Management Console ligne de commande ou du IAMAPI. Pour activer un MFA appareil pour votre Utilisateur racine d'un compte AWS, voirActiver un TOTP jeton matériel pour l'utilisateur root (console).

Vous pouvez enregistrer jusqu'à huit MFA appareils de n'importe quelle combinaison des MFAtypes actuellement pris en charge auprès de vous Utilisateur racine d'un compte AWS et de vos IAM utilisateurs. Avec plusieurs MFA appareils, vous n'avez besoin que d'un seul MFA appareil pour vous connecter AWS Management Console ou créer une session AWS CLI en tant qu'utilisateur.

Important

Nous vous recommandons d'activer plusieurs MFA appareils pour que vos utilisateurs puissent continuer à accéder à votre compte en cas de perte ou d'inaccessibilité d'un MFA appareil.

Note

Si vous souhaitez activer le MFA périphérique à partir de la ligne de commande, utilisez aws iam enable-mfa-device. Pour activer l'MFAappareil avec le IAMAPI, utilisez l'EnableMFADeviceopération.

Autorisations nécessaires

Pour gérer un TOTP jeton matériel pour votre propre IAM utilisateur tout en protégeant les MFA actions sensibles associées, vous devez disposer des autorisations définies dans la politique suivante :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Activer un TOTP jeton matériel pour votre propre IAM utilisateur (console)

Vous pouvez activer votre propre TOTP jeton matériel à partir du AWS Management Console.

Note

Avant de pouvoir activer un TOTP jeton matériel, vous devez avoir un accès physique à l'appareil.

Pour activer un TOTP jeton matériel pour votre propre IAM utilisateur (console)
  1. Utilisez votre AWS identifiant ou alias de compte, votre nom IAM d'utilisateur et votre mot de passe pour vous connecter à la IAMconsole.

    Note

    Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom IAM d'utilisateur et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez Sign in to a different account (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion IAM utilisateur de votre compte.

    Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.

  2. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis Security credentials (Informations d'identification de sécurité).

    AWS Management Console Lien vers les identifiants de sécurité
  3. Dans l'onglet AWS IAMInformations d'identification, dans la section Authentification multifactorielle (MFA), choisissez Attribuer MFA un appareil.

  4. Dans l'assistant, tapez un nom de périphérique, choisissez TOTPToken matériel, puis cliquez sur Suivant.

  5. Saisissez le numéro de série du périphérique. Le numéro de série se situe généralement l'arrière du périphérique.

  6. Dans le champ MFACode 1, tapez le numéro à six chiffres affiché par l'MFAappareil. Vous devrez peut-être appuyer sur le bouton situé à l'avant du périphérique pour afficher le numéro.

    IAMTableau de bord, MFA appareil
  7. Patientez 30 secondes pendant que l'appareil actualise le code, puis tapez le numéro à six chiffres suivant dans le champ MFACode 2. Vous devrez peut-être appuyer à nouveau sur le bouton situé à l'avant du périphérique pour afficher le second numéro.

  8. Choisissez Ajouter MFA.

    Important

    Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis que vous attendez trop longtemps pour soumettre la demande, l'MFAappareil s'associe correctement à l'utilisateur, mais il se désynchronise. MFA Cela se produit parce que les mots de passe à usage unique basés sur le temps (TOTP) expirent après un court laps de temps. Dans ce cas, vous pouvez resynchroniser le dispositif.

L'appareil est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation MFA avec le AWS Management Console, voirMFAconnexion activée.

Activer un TOTP jeton matériel pour un autre IAM utilisateur (console)

Vous pouvez activer un TOTP jeton matériel pour un autre IAM utilisateur à partir du AWS Management Console.

Pour activer un TOTP jeton matériel pour un autre IAM utilisateur (console)
  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur pour lequel vous souhaitez activerMFA.

  4. Choisissez l'onglet Informations d'identification de sécurité. Sous Authentification multifactorielle (MFA), choisissez Attribuer un MFA appareil.

  5. Dans l'assistant, tapez un nom de périphérique, choisissez TOTPToken matériel, puis cliquez sur Suivant.

  6. Saisissez le numéro de série du périphérique. Le numéro de série se situe généralement l'arrière du périphérique.

  7. Dans le champ MFACode 1, tapez le numéro à six chiffres affiché par l'MFAappareil. Vous devrez peut-être appuyer sur le bouton situé à l'avant du périphérique pour afficher le numéro.

    IAMTableau de bord, MFA appareil
  8. Patientez 30 secondes pendant que l'appareil actualise le code, puis tapez le numéro à six chiffres suivant dans le champ MFACode 2. Vous devrez peut-être appuyer à nouveau sur le bouton situé à l'avant du périphérique pour afficher le second numéro.

  9. Choisissez Ajouter MFA.

    Important

    Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis que vous attendez trop longtemps pour soumettre la demande, l'MFAappareil s'associe correctement à l'utilisateur, mais il se désynchronise. MFA Cela se produit parce que les mots de passe à usage unique basés sur le temps (TOTP) expirent après un court laps de temps. Dans ce cas, vous pouvez resynchroniser le dispositif.

L'appareil est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation MFA avec le AWS Management Console, voirMFAconnexion activée.

Remplacer un MFA appareil physique

Jusqu'à huit MFA appareils de n'importe quelle combinaison des MFAtypes actuellement pris en charge peuvent être attribués à un utilisateur à la fois avec vous Utilisateur racine d'un compte AWS et vos IAM utilisateurs. Si l'utilisateur perd un périphérique ou a besoin de le remplacer pour une raison quelconque, vous devez désactiver l'ancien périphérique. Vous pouvez alors ajouter le nouveau périphérique pour l'utilisateur.