Autenticazione a più fattori - Conformità al regolamento generale sulla protezione dei dati in AWS

Autenticazione a più fattori

Per incrementare il livello di sicurezza, puoi aggiungere l'autenticazione a due fattori per il tuo account e per i singoli utenti. Quando è abilitata, l'autenticazione a più fattori (MFA) richiede a coloro che effettuano l'accesso alla Console di gestione AWS il nome utente e la password (il primo fattore), oltre a una risposta di autenticazione dal loro dispositivo AWS MFA (il secondo fattore). È possibile attivare la MFA per il proprio account AWS e per singoli utenti IAM creati nell'account. Inoltre, la MFA permette di controllare l'accesso alle API dei servizi AWS.

Ad esempio, puoi definire una policy che consenta l'accesso completo a tutte le operazioni delle API di AWS in Amazon EC2 agli utenti che superano l'autenticazione MFA e neghi esplicitamente l'accesso a specifiche operazioni API, ad esempio StopInstances e TerminateInstances, a coloro che non sono autenticati. 


        {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “AllowAllActionsForEC2”,
                “Effect”: “Allow”,
                “Action”: “ec2:*”,
                “Resource”: “*”
             },
            {
                “Sid”: “DenyStopAndTerminateWhenMFAIsNotPResent”,
                “Effect”: “Deny”,
                “Action”: [
                    “ec2:StopInstances”,
                    “ec2:TerminateInstances”
               ],
               “Resource”: “*”,
               “Conditions”: {
                   “BoolIfExists”: {“aws:MultiFactorAuthPresent”:false}
                }
            }
       }
}

Per aggiungere un ulteriore livello di sicurezza ai bucket Amazon S3, puoi configurare la funzione Cancellazione MFA, che richiede un'autenticazione aggiuntiva per modificare lo stato del controllo delle versioni di un bucket ed eliminare definitivamente una versione dell'oggetto. La funzione Cancellazione MFA fornisce così una protezione ulteriore nel caso in cui le credenziali di sicurezza fossero compromesse.

Per utilizzare la funzione Cancellazione MFA è necessario un dispositivo MFA fisico o virtuale per generare un codice di autenticazione. Consulta la pagina Autenticazione a più fattori per visionare l'elenco dei dispositivi MFA hardware o virtuali supportati.