FIDO2appareils pris en charge par AWS Navigateurs compatibles FIDO2 Certifications des appareils AWS CLI et AWS API Ressources supplémentaires

Configurations prises en charge pour l’utilisation des clés d’accès et des clés de sécurité

Vous pouvez utiliser des clés d'accès FIDO2 liées à l'appareil, également appelées clés de sécurité, comme méthode d'authentification multifactorielle (MFA) en IAM utilisant les configurations actuellement prises en charge. Il s'agit notamment FIDO2 des appareils pris en charge par IAM et des navigateurs compatiblesFIDO2. Avant d'enregistrer votre FIDO2 appareil, vérifiez que vous utilisez la dernière version du navigateur et du système d'exploitation (OS). Les fonctionnalités peuvent se comporter différemment selon les navigateurs, les authentificateurs et les clients du système d’exploitation. Si l’enregistrement de votre dispositif échoue sur un navigateur, vous pouvez essayer de vous enregistrer avec un autre navigateur.

FIDO2est une norme d'authentification ouverte et une extension de FIDO U2F, offrant le même haut niveau de sécurité basé sur la cryptographie à clé publique. FIDO2comprend la spécification d'authentification Web du W3C (WebAuthn API) et le Client-to-Authenticator protocole FIDO Alliance (CTAP), un protocole de couche application. CTAPpermet la communication entre un client ou une plateforme, comme un navigateur ou un système d'exploitation, avec un authentificateur externe. Lorsque vous activez un authentificateur FIDO certifié AWS, la clé de sécurité crée une nouvelle paire de clés à utiliser uniquement avec. AWS Tout d'abord, saisissez vos informations d'identification. Lorsque vous y êtes invité, insérez la clé de sécurité, qui répond au défi d’authentification émis par AWS. Pour en savoir plus sur la FIDO2 norme, consultez le FIDO2projet.

FIDO2appareils pris en charge par AWS

IAMprend en charge les dispositifs de FIDO2 sécurité qui se connectent à vos appareils viaUSB, Bluetooth, ouNFC. IAMprend également en charge les authentificateurs de plateforme tels que TouchID ou FaceID. IAMne prend pas en charge l'enregistrement de clés d'accès locales pour Windows Hello. Pour créer et utiliser des clés d’accès, les utilisateurs de Windows doivent utiliser l’authentification entre appareils, qui consiste à utiliser une clé d’accès provenant d’un appareil, comme un appareil mobile, ou une clé de sécurité matérielle pour se connecter sur un autre appareil, tel qu’un ordinateur portable.

Note

AWS nécessite l'accès au USB port physique de votre ordinateur pour vérifier votre FIDO2 appareil. Les clés de sécurité ne fonctionnent pas avec une machine virtuelle, une connexion à distance ou le mode de navigation privée d’un navigateur.

L'FIDOAlliance tient à jour une liste de tous les FIDO2produits compatibles avec les FIDO spécifications.

Navigateurs compatibles FIDO2

La disponibilité des dispositifs de FIDO2 sécurité exécutés dans un navigateur Web dépend de la combinaison du navigateur et du système d'exploitation. Les navigateurs suivants prennent actuellement en charge l’utilisation de clés de sécurité :

Navigateur Web	macOS 10.15+	Windows 10	Linux	iOS 14.5+	Android 7+
Chrome	Oui	Oui	Oui	Oui	Non
Safari	Oui	Non	Non	Oui	Non
Edge	Oui	Oui	Non	Oui	Non
Firefox	Oui	Oui	Non	Oui	Non

Note

La plupart des versions de Firefox actuellement compatibles FIDO2 ne l'activent pas par défaut. Pour obtenir des instructions sur l'activation du FIDO2 support dans Firefox, consultezRésoudre les problèmes liés aux clés de sécurité et aux clés de sécurité FIDO.

Firefox sur macOS peut ne pas prendre pleinement en charge les flux de travail d’authentification entre appareils pour les clés d’accès. Il se peut que vous soyez invité à toucher une clé de sécurité au lieu de procéder à une authentification entre appareils. Nous vous recommandons d’utiliser un autre navigateur, tel que Chrome ou Safari, pour vous connecter à l’aide de clés d’accès sur macOS.

Pour plus d'informations sur la prise en charge par navigateur pour un appareil FIDO2 certifié tel que YubiKey, voir Support du système d'exploitation et du navigateur Web pour FIDO2 U2F.

Plug-ins de navigateur

AWS ne prend en charge que les navigateurs compatibles nativement. FIDO2 AWS ne prend pas en charge l'utilisation de plugins pour ajouter FIDO2 le support du navigateur. Certains plugins de navigateur sont incompatibles avec la FIDO2 norme et peuvent entraîner des résultats inattendus avec les clés FIDO2 de sécurité.

Pour plus d'informations sur la désactivation des plug-ins et pour obtenir d'autres conseils de dépannage, consultez Je ne parviens pas à activer ma clé FIDO de sécurité.

Certifications des appareils

Nous capturons et attribuons les certifications relatives aux appareils, telles que le niveau de FIPS validation et de FIDO certification, uniquement lors de l'enregistrement d'une clé de sécurité. La certification de votre appareil est extraite du service de métadonnées FIDO Alliance (MDS). Si le statut ou le niveau de certification de votre clé de sécurité change, celui-ci n’apparaîtra pas automatiquement dans les balises du dispositif. Pour mettre à jour les informations de certification d'un appareil, enregistrez à nouveau l'appareil pour récupérer les informations de certification mises à jour.

AWS fournit les types de certification suivants sous forme de clés de condition lors de l'enregistrement de l'appareil, obtenus à partir des niveaux FIDO MDS : FIPS -140-2, FIPS -140-3 et de certification. FIDO Vous avez la possibilité de spécifier l'enregistrement d'authentificateurs spécifiques dans leurs IAM politiques, en fonction du type et du niveau de certification que vous préférez. Pour plus d'informations, consultez les politiques ci-dessous.

Exemples de politiques pour la certification des appareils

Les cas d'utilisation suivants présentent des exemples de politiques qui vous permettent d'enregistrer MFA des appareils avec des FIPS certifications.

Rubriques

Cas d'utilisation 1 : autoriser l'enregistrement uniquement des appareils dotés de certifications L2 de FIPS -140-2
Cas d'utilisation 2 : Autoriser l'enregistrement des appareils dotés des certifications L2 et L1 FIPS -140-2 FIDO
Cas d'utilisation 3 : Autoriser l'enregistrement des appareils dotés des certifications FIPS -140-2 L2 ou -140-3 L2 FIPS
Cas d'utilisation 4 : Autoriser l'enregistrement des appareils dotés de la certification FIPS L2 -140-2 et prenant en charge d'autres MFA types tels que les authentificateurs virtuels et le matériel TOTP

Cas d'utilisation 1 : autoriser l'enregistrement uniquement des appareils dotés de certifications L2 de FIPS -140-2


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}

Cas d'utilisation 2 : Autoriser l'enregistrement des appareils dotés des certifications L2 et L1 FIPS -140-2 FIDO


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}

Cas d'utilisation 3 : Autoriser l'enregistrement des appareils dotés des certifications FIPS -140-2 L2 ou -140-3 L2 FIPS


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}

Cas d'utilisation 4 : Autoriser l'enregistrement des appareils dotés de la certification FIPS L2 -140-2 et prenant en charge d'autres MFA types tels que les authentificateurs virtuels et le matériel TOTP


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Activate",
                    "iam:FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iam:RegisterSecurityKey": "true"
                }
            }
        }
    ]
}

AWS CLI et AWS API

AWS prend en charge l'utilisation de clés d'accès et de clés de sécurité uniquement dans le AWS Management Console. L'utilisation de clés d'accès et de clés de sécurité pour n'MFAest pas prise en charge dans le AWS CLIet AWS API, ni pour l'accès à des MFAopérations protégées API.

Ressources supplémentaires

Pour plus d'informations sur l'utilisation des clés d'accès et des clés de sécurité dans AWS, consultezAttribution d’un mot de passe ou d’une clé d’accès dans l’AWS Management Console.
Pour obtenir de l'aide sur la résolution des problèmes liés aux clés d'accès et aux clés de sécurité AWS, consultezRésoudre les problèmes liés aux clés de sécurité et aux clés de sécurité FIDO.
Pour des informations générales sur le secteur sur le FIDO2 support, voir FIDO2Projet.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Attribution d’un mot de passe ou d’une clé d’accès

Attribuer un MFA appareil virtuel