Prasyarat Langkah 1: Buat kebijakan untuk menerapkan masuk MFA Langkah 2: Lampirkan kebijakan ke grup pengguna uji Anda Langkah 3: Uji akses pengguna Anda Sumber daya terkait

Tutorial IAM: Izinkan pengguna untuk mengelola kredensi dan pengaturan MFA mereka

Anda dapat mengizinkan pengguna untuk mengelola perangkat dan kredensialnya sendiri multi-faktor autentikasi (MFA) di halaman Kredensial Keamanan. Anda dapat menggunakan AWS Management Console untuk mengonfigurasi kredensi (kunci akses, kata sandi, sertifikat penandatanganan, dan kunci publik SSH), menghapus atau menonaktifkan kredenal yang tidak diperlukan, dan mengaktifkan perangkat MFA untuk pengguna Anda. Ini berguna untuk sejumlah kecil pengguna, tetapi tugas itu dapat dengan cepat memakan waktu seiring bertambahnya jumlah pengguna. Tutorial ini menunjukkan cara mengaktifkan praktik terbaik tersebut tanpa membebani administrator Anda.

Tutorial ini menunjukkan cara mengizinkan pengguna mengakses AWS layanan, tetapi hanya ketika mereka masuk dengan MFA. Jika mereka belum masuk dengan perangkat MFA, maka pengguna tidak dapat mengakses layanan lainnya.

Alur kerja ini memiliki tiga langkah dasar.

Langkah 1: Buat kebijakan untuk menerapkan masuk MFA: Buat kebijakan terkelola pelanggan yang melarang semua tindakan kecuali beberapa tindakan IAM. Pengecualian ini memungkinkan pengguna untuk mengubah kredensialnya sendiri dan mengelola perangkat MFA mereka di halaman kredensi Keamanan. Untuk informasi selengkapnya tentang mengakses halaman tersebut, lihat Cara pengguna IAM mengubah kata sandi mereka sendiri (konsol).
Langkah 2: Lampirkan kebijakan ke grup pengguna uji Anda: Buat grup pengguna yang anggotanya memiliki akses penuh ke semua tindakan Amazon EC2 jika mereka masuk dengan MFA. Untuk membuat grup pengguna seperti itu, Anda melampirkan kebijakan AWS terkelola yang disebut AmazonEC2FullAccess dan kebijakan terkelola pelanggan yang Anda buat pada langkah pertama.
Langkah 3: Uji akses pengguna Anda: Masuk sebagai pengguna uji untuk memverifikasi bahwa akses ke Amazon EC2 diblokir hingga pengguna membuat perangkat MFA. Pengguna kemudian dapat masuk menggunakan perangkat tersebut.

Prasyarat

Untuk melakukan langkah-langkah di tutorial ini, Anda harus sudah memiliki hal-hal berikut:

Sebuah Akun AWS yang dapat Anda masuki sebagai pengguna IAM dengan izin administratif.
Nomor ID akun Anda, yang Anda ketikkan ke dalam kebijakan di Langkah 1.

Untuk menemukan nomor ID akun Anda, di bilah navigasi di bagian atas halaman, pilih Dukungan lalu pilih Pusat Dukungan. Anda dapat menemukan ID akun Anda di menu Dukungan di halaman ini.
Perangkat MFA virtual (berbasis perangkat lunak), kunci keamanan FIDO, atau perangkat MFA berbasis perangkat keras.
Uji pengguna IAM yang merupakan anggota grup pengguna sebagai berikut:

Buat pengguna		Buat dan konfigurasikan akun grup pengguna
Nama pengguna	Instruksi lainnya	Nama grup pengguna	Tambahkan pengguna sebagai anggota	Instruksi lainnya
MFAUser	Pilih hanya opsi untuk Aktifkan akses konsol — opsional, dan tetapkan kata sandi.	EC2MFA	MFAUser	JANGAN lampirkan kebijakan apa pun atau memberikan izin ke grup pengguna ini.

Langkah 1: Buat kebijakan untuk menerapkan masuk MFA

Anda memulai dengan membuat kebijakan terkelola pelanggan IAM yang menolak semua izin kecuali izin yang diperlukan oleh pengguna IAM untuk mengelola kredensial dan perangkat MFA mereka sendiri.

Masuk ke Konsol AWS Manajemen sebagai pengguna dengan kredensi administrator. Untuk mematuhi praktik terbaik IAM, jangan masuk dengan Pengguna root akun AWS kredensi Anda.

penting
Praktik terbaik IAM merekomendasikan agar Anda mengharuskan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara alih-alih menggunakan pengguna IAM dengan kredensi jangka panjang.
Buka konsol IAM di https://console.aws.amazon.com/iam/.
Pada panel navigasi, pilih Kebijakan, lalu pilih Buat kebijakan.
Pilih tab JSON dan salin teks dari dokumen kebijakan JSON berikut: AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan.
Tempelkan teks kebijakan ke dalam kotak teks JSON. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Berikutnya.

catatan
Anda dapat beralih antara editor Visual dan opsi JSON kapan saja. Namun, kebijakan di atas mencakup unsur NotAction yang tidak didukung di editor visual. Untuk kebijakan ini, Anda akan melihat pemberitahuan di tab Editor visual. Kembali ke JSON untuk terus bekerja dengan kebijakan ini.
Kebijakan contoh ini tidak mengizinkan pengguna untuk mengatur ulang kata sandi saat masuk AWS Management Console untuk pertama kalinya. Kami menyarankan Anda untuk tidak memberikan izin kepada pengguna baru sampai setelah mereka masuk dan mengatur ulang kata sandi mereka.
Pada halaman Tinjau dan buat, ketik Force_MFA nama kebijakan. Untuk deskripsi kebijakan, ketik This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA. Di area Tag, Anda dapat menambahkan pasangan nilai kunci tag secara opsional ke kebijakan yang dikelola pelanggan. Tinjau izin yang diberikan oleh kebijakan Anda, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Kebijakan baru muncul di daftar kebijakan terkelola dan siap dilampirkan.

Langkah 2: Lampirkan kebijakan ke grup pengguna uji Anda

Selanjutnya Anda melampirkan dua kebijakan ke grup pengguna IAM pengujian, yang akan digunakan untuk memberikan izin yang dilindungi MFA.

Di panel navigasi, pilih User groups (Grup pengguna).
Pada kotak pencarian, ketik EC2MFA, lalu pilih nama grup (bukan kotak centang) dalam daftar.
Pilih tab Izin, pilih Tambahkan izin, lalu pilih Lampirkan kebijakan.
Pada halaman Lampirkan kebijakan izin ke grup EC2MFA, di kotak pencarian, ketik. EC2Full Kemudian pilih kotak centang di sebelah AmazonEC2 FullAccess dalam daftar. Jangan menyimpan perubahan Anda.
Pada kotak pencarian, ketik Force, lalu pilih kotak centang di samping Force_MFA dalam daftar.
Pilih Lampirkan kebijakan.

Langkah 3: Uji akses pengguna Anda

Di bagian tutorial ini, Anda masuk sebagai pengguna uji dan memverifikasi bahwa kebijakan berjalan sebagaimana mestinya.

Masuk ke Anda Akun AWS sebagai MFAUser dengan kata sandi yang Anda tetapkan di bagian sebelumnya. Gunakan URL: https://<alias or account ID number>.signin.aws.amazon.com/console
Pilih EC2 untuk membuka konsol Amazon EC2 dan memverifikasi bahwa pengguna tidak memiliki izin untuk melakukan apa pun.
Di bilah navigasi di kanan atas, pilih nama MFAUser pengguna, lalu pilih Kredensi keamanan.
Sekarang, tambahkan perangkat MFA. Di bagian Multi-Factor Authentication (MFA), pilih Tetapkan perangkat MFA.

catatan
Anda mungkin menerima kesalahan bahwa Anda tidak berwenang untuk melakukan iam:DeleteVirtualMFADevice. Hal ini dapat terjadi jika sebelumnya seseorang mulai menetapkan perangkat MFA virtual ke pengguna ini dan membatalkan proses. Untuk melanjutkan, Anda atau administrator lain harus menghapus perangkat MFA virtual pengguna yang belum ditetapkan. Untuk informasi selengkapnya, lihat Saya tidak berwenang untuk melakukan: iam: MFADevice DeleteVirtual.
Untuk tutorial ini, kami menggunakan perangkat MFA virtual (berbasis perangkat lunak), seperti aplikasi Google Authenticator di ponsel. Pilih aplikasi Authenticator, lalu klik Berikutnya.

IAM menghasilkan dan menampilkan informasi konfigurasi untuk perangkat MFA virtual, termasuk grafik kode QR. Grafik adalah representasi kunci konfigurasi rahasia yang tersedia untuk entri manual pada perangkat yang tidak mendukung kode QR.
Buka aplikasi MFA virtual Anda. (Untuk daftar aplikasi yang dapat Anda gunakan untuk meng-host perangkat MFA virtual, lihat Aplikasi MFA Virtual.) Jika aplikasi MFA virtual mendukung beberapa akun (beberapa perangkat MFA virtual), pilih opsi untuk membuat akun baru (perangkat MFA virtual baru).
Tentukan apakah aplikasi MFA mendukung kode QR, kemudian lakukan salah satu hal berikut:
- Dari wizard, pilih Tampilkan kode QR. Lalu gunakan aplikasi untuk memindai kode QR. Misalnya, Anda dapat memilih ikon kamera atau memilih opsi yang mirip dengan Pindai kode, lalu gunakan kamera perangkat untuk memindai kode.
- Di wizard Siapkan perangkat, pilih Tampilkan kunci rahasia, lalu ketik kunci rahasia ke dalam aplikasi MFA Anda.
Saat Anda selesai, perangkat MFA virtual mulai membuat kata sandi sekali pakai.
Di wizard Menyiapkan perangkat, di Masukkan kode dari aplikasi autentikator Anda. kotak, ketik kata sandi satu kali yang saat ini muncul di perangkat MFA virtual. Pilih Daftar MFA.

penting
Kirim permintaan Anda segera setelah membuat kode. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirimkan permintaan, perangkat MFA berhasil dikaitkan dengan pengguna. Namun, perangkat MFA tidak sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis waktu (TOTP) kedaluwarsa setelah periode waktu yang singkat. Jika ini terjadi, Anda dapat menyinkronisasi ulang perangkat.

Perangkat MFA virtual sekarang siap digunakan. AWS
Keluar dari konsol lalu masuk sebagai MFAUser lagi. Kali ini AWS meminta Anda untuk kode MFA dari ponsel Anda. Saat Anda mendapatkannya, ketik kode di kotak, lalu pilih Kirim.
Pilih EC2 untuk membuka konsol Amazon EC2 lagi. Perhatikan bahwa saat ini Anda dapat melihat semua informasi dan melakukan tindakan apa pun yang Anda inginkan. Jika Anda mengunjungi konsol lain sebagai pengguna ini, Anda melihat akses pesan yang ditolak. Alasannya adalah kebijakan dalam tutorial ini hanya dapat diakses oleh Amazon EC2

Sumber daya terkait

Untuk informasi tambahan, lihat topik berikut:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan tanda sesi SAML untuk ABAC

Identitas