本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 FIDO 安全性金鑰的支援組態
您可以使用目前支援的組態,使用 FIDO2 安全金鑰做為 IAM 的多重要素驗證 (MFA) 方法。其中包括 IAM 支援的 FIDO2 裝置,以及支援 FIDO2 的瀏覽器。在註冊 FIDO2 裝置之前,請確認您使用的是最新的瀏覽器和作業系統 (OS) 版本。功能在不同瀏覽器、驗證器和作業系統用戶端上的行為可能有所不同。如果您在一個瀏覽器上註冊裝置失敗,您可以嘗試使用其他瀏覽器註冊。
AWS 支援的 FIDO2 裝置
IAM 支援透過 USB、藍牙或 NFC 連接至您裝置的 FIDO2 安全裝置。我們不支援 TouchID、FaceID 或 Windows Hello 等平台驗證機制。
注意
AWS 需要存取電腦上的實體 USB 連接埠,以驗證您的 FIDO2 裝置。FIDO2 安全性金鑰不適用於虛擬機器、遠端連線或瀏覽器的無痕模式。
FIDO Alliance 會維護與 FIDO 規範相容之所有 FIDO2 產品
支援 FIDO2 的瀏覽器
在網頁瀏覽器中執行的 FIDO2 安全裝置的可用性取決於瀏覽器和作業系統的組合。以下瀏覽器目前支援使用 FIDO2 安全金鑰:
| macOS 10.15+ | Windows 10 | Linux | iOS 14.5+ | Android 7+ | |
|---|---|---|---|---|---|
| Chrome | 是 | 是 | 是 | 是 | 否 |
| Safari | 是 | 否 | 否 | 是 | 否 |
| Edge | 是 | 是 | 否 | 是 | 否 |
| Firefox | 是 | 是 | 否 | 是 | 否 |
注意
大多數目前支援 FIDO2 的 Firefox 版本預設不會啟用支援。有關在火狐瀏覽器中啟用 FIDO2 支持的說明,請參閱對 FIDO 安全性金鑰進行故障診斷。
如需有關支援 FiDO2 認證裝置之瀏覽器的詳細資訊 YubiKey,請參閱 FIDO2 和 U2F 的作業系統和網頁瀏覽器支援
瀏覽器外掛程式
AWS 僅支援本機支援 FIDO2 的瀏覽器。 AWS 不支持使用插件添加 FIDO2 瀏覽器支持。某些瀏覽器外掛程式與 FIDO2 標準不相容,因此可能會導致 FIDO2 安全金鑰無法預期的結果。
如需停用瀏覽器外掛程式和其他故障診斷提示,請參閱 我無法啟用 FIDO 安全性金鑰。
裝置認證
我們只會在註冊 FIDO 安全金鑰期間擷取和指派與裝置相關的認證,例如 FIPS 驗證和 FIDO 認證等級。從 FIDO Alliance Metadata Service (MDS)
AWS 在裝置註冊期間提供下列認證類型作為條件索引鍵,可從 FIDO MDS 中取得:FIPS-140-2、FIPS-140-3 和 FIDO 認證等級。您可以根據偏好的認證類型和等級,在其 IAM 政策中指定特定驗證器的註冊。如需詳細資訊,請參閱以下政策。
裝置認證的範例政策
下列使用案例顯示可讓您使用 FIPS 認證註冊 MFA 裝置的範例政策。
主題
使用案例 1:僅允許註冊具有 FIPS-140-2 L2 認證的裝置
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } } ] }
使用案例 2:允許註冊具有 FIPS-140-2 L2 和 FIDO L1 認證的裝置
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2", "iam:FIDO-certification": "L1" } } } ] }
使用案例 3:允許註冊具有 FIPS-140-2 L2 或 FIPS-140-3 L2 認證的裝置
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L2" } } } ] }
使用案例 4:允許註冊具有 FIPS-140-2 L2 憑證的裝置,並支援其他 MFA 類型,例如虛擬身分驗證器和硬體 TOTP
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Activate", "iam:FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "Null": { "iam:RegisterSecurityKey": "true" } } } ] }
AWS CLI 和 AWS API
AWS 僅支援使用 FIDO2 安全性金鑰 AWS Management Console。AWS CLI 和 AWS API
其他資源
-
如需在中使用 FIDO2 安全性金鑰的詳細資訊 AWS,請參閱啟用 FIDO 安全性金鑰 (主控台)。
-
如需有關 FIDO2 安全性金鑰疑難排解的說明 AWS,請參閱對 FIDO 安全性金鑰進行故障診斷。
-
如需有關 FIDO2 支援的一般行業資訊,請參閱 FIDO2 專案
。
