Configurations prises en charge pour l'utilisation des clés de sécurité FIDO - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurations prises en charge pour l'utilisation des clés de sécurité FIDO

Vous pouvez utiliser les clés de sécurité FIDO2 comme méthode d'authentification multifactorielle (MFA) avec IAM en utilisant les configurations actuellement prises en charge. Il s'agit notamment des appareils FIDO2 pris en charge par IAM et des navigateurs compatibles FIDO2. Avant d'enregistrer votre appareil FIDO2, vérifiez que vous utilisez la dernière version du navigateur et du système d'exploitation (OS). Les fonctionnalités peuvent se comporter différemment selon les navigateurs, les authentificateurs et les clients du système d'exploitation. Si l'enregistrement de votre appareil échoue sur un navigateur, vous pouvez essayer de vous enregistrer avec un autre navigateur.

Dispositifs FIDO2 pris en charge par AWS

IAM prend en charge les dispositifs de sécurité FIDO2 qui se connectent à vos appareils via USB, Bluetooth ou NFC. Nous ne prenons pas en charge les authentificateurs de plateforme tels que TouchID, FaceID ou Windows Hello.

Note

AWS nécessite l'accès au port USB physique de votre ordinateur pour vérifier votre appareil FIDO2. Les clés de sécurité FIDO2 ne fonctionneront pas avec une machine virtuelle, une connexion à distance ou le mode navigation privée d'un navigateur.

La FIDO Alliance tient à jour une liste de tous les produits FIDO2 qui sont compatibles avec les spécifications FIDO.

Navigateurs compatibles avec FIDO2

La disponibilité des dispositifs de sécurité FIDO2 exécutés dans un navigateur Web dépend de la combinaison du navigateur et du système d'exploitation. Les navigateurs suivants prennent actuellement en charge l'utilisation de clés de sécurité FIDO2 :

macOS 10.15+ Windows 10 Linux iOS 14.5+ Android 7+
Chrome Oui Oui Oui Oui Non
Safari Oui Non Non Oui Non
Edge Oui Oui Non Oui Non
Firefox Oui Oui Non Oui Non
Note

La plupart des versions de Firefox qui supportent actuellement FIDO2 ne l'activent pas par défaut. Pour obtenir des instructions sur l'activation du support FIDO2 dans Firefox, consultez. Résolution des problèmes liés aux clés de sécurité FIDO

Pour plus d'informations sur la prise en charge par navigateur pour un appareil certifié FIDO2 tel que YubiKey, voir Support du système d'exploitation et du navigateur Web pour FIDO2 et U2F.

Plug-ins de navigateur

AWS ne prend en charge que les navigateurs compatibles nativement avec FIDO2. AWS ne prend pas en charge l'utilisation de plugins pour ajouter le support du navigateur FIDO2. Certains plugins de navigateur sont incompatibles avec la norme FIDO2 et peuvent provoquer des résultats inattendus avec les clés de sécurité FIDO2.

Pour plus d'informations sur la désactivation des plug-ins et pour obtenir d'autres conseils de dépannage, consultez Je ne peux pas activer ma clé de sécurité FIDO.

Certifications des appareils

Nous capturons et attribuons les certifications liées aux appareils, telles que la validation FIPS et le niveau de certification FIDO, uniquement lors de l'enregistrement d'une clé de sécurité FIDO. La certification de votre appareil est extraite du FIDO Alliance Metadata Service (MDS). Si le statut ou le niveau de certification de votre clé de sécurité FIDO change, celui-ci n'apparaîtra pas automatiquement dans les balises de l'appareil. Pour mettre à jour les informations de certification d'un appareil, enregistrez à nouveau l'appareil pour récupérer les informations de certification mises à jour.

AWS fournit les types de certification suivants sous forme de clés de condition lors de l'enregistrement de l'appareil, obtenus à partir de FIDO MDS : niveaux de certification FIPS-140-2, FIPS-140-3 et FIDO. Vous avez la possibilité de spécifier l'enregistrement d'authentificateurs spécifiques dans leurs politiques IAM, en fonction du type et du niveau de certification que vous préférez. Pour plus d'informations, consultez les politiques ci-dessous.

Exemples de politiques pour la certification des appareils

Les cas d'utilisation suivants présentent des exemples de politiques qui vous permettent d'enregistrer des appareils MFA avec des certifications FIPS.

Cas d'utilisation 1 : autoriser uniquement l'enregistrement des appareils certifiés FIPS-140-2 L2

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } } ] }

Cas d'utilisation 2 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 et FIDO L1

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2", "iam:FIDO-certification": "L1" } } } ] }

Cas d'utilisation 3 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 ou FIPS-140-3 L2

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L2" } } } ] }

Cas d'utilisation n°4 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 et prenant en charge d'autres types de MFA, tels que les authentificateurs virtuels et le TOTP matériel

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Activate", "iam:FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "Null": { "iam:RegisterSecurityKey": "true" } } } ] }

AWS CLI et AWS API

AWS prend en charge l'utilisation des clés de sécurité FIDO2 uniquement dans le. AWS Management Console L'utilisation des clés de sécurité FIDO2 pour l'authentification multifactorielle (MFA) n'est pas prise en charge dans AWS CLI ni dans l'API AWS, ni pour l'accès aux opérations d'API protégées par l'authentification multifactorielle (MFA).

Ressources supplémentaires