Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Authentification multifactorielle pour Utilisateur racine d'un compte AWS

Mode de mise au point
Authentification multifactorielle pour Utilisateur racine d'un compte AWS - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

L'authentification MFA multifactorielle () est un mécanisme simple et efficace pour renforcer votre sécurité. Le premier facteur, votre mot de passe, est un secret que vous mémorisez, également appelé facteur de connaissance. Les autres facteurs peuvent être des facteurs liés à la possession (quelque chose que vous possédez, comme une clé de sécurité) ou des facteurs inhérents (quelque chose que vous êtes, comme un scan biométrique). Pour une sécurité accrue, nous vous recommandons vivement de configurer l'authentification multifactorielle (MFA) afin de protéger vos AWS ressources.

Note

À compter de mai 2024, tous les utilisateurs root devront l'activer MFA lors de leur prochaine connexion si ce n'MFAest pas déjà fait. Les utilisateurs peuvent reporter MFA leur inscription jusqu'à 35 jours en sautant l'invite. Après 35 jours, l'activation MFA devient obligatoire pour procéder à la connexion et accéder au AWS Management Console. Pour les comptes membres, la MFA configuration est actuellement facultative, mais l'entrée en vigueur est prévue pour le printemps 2025,

Vous pouvez l'activer MFA pour Utilisateur racine d'un compte AWS et les IAM utilisateurs. Lorsque vous l'activez MFA pour l'utilisateur root, cela n'affecte que les informations d'identification de l'utilisateur root. Pour plus d'informations sur la façon de MFA l'activer pour vos IAM utilisateurs, consultezAWS Authentification multifactorielle dans IAM.

Note

Comptes AWS L'utilisation gérée AWS Organizations peut avoir la possibilité de gérer de manière centralisée l'accès root aux comptes des membres afin d'empêcher la récupération des informations d'identification et l'accès à grande échelle. Si cette option est activée, vous pouvez supprimer les informations d'identification de l'utilisateur root des comptes membres, y compris les mots de passeMFA, et empêcher ainsi la connexion en tant qu'utilisateur root, la récupération du mot de passe ou la configurationMFA. Sinon, si vous préférez conserver des méthodes de connexion basées sur un mot de passe, sécurisez votre compte en vous inscrivant MFA pour améliorer la protection du compte.

Avant de procéder à l'activation MFA pour votre utilisateur root, vérifiez et mettez à jour les paramètres de votre compte et vos coordonnées pour vous assurer que vous avez accès à l'adresse e-mail et au numéro de téléphone. Si votre MFA appareil est perdu, volé ou ne fonctionne pas, vous pouvez toujours vous connecter en tant qu'utilisateur root en vérifiant votre identité à l'aide de cette adresse e-mail et de ce numéro de téléphone. Pour en savoir plus sur la connexion à l'aide d'autres facteurs d'authentification, consultez Restauration d’une identité protégée par MFA dans IAM. Pour désactiver cette fonction, contactez AWS Support.

AWS prend en charge les MFA types suivants pour votre utilisateur root :

Clés d’accès et clés de sécurité

AWS Identity and Access Management prend en charge les clés d'accès et les clés de sécurité pourMFA. Sur la base FIDO des normes, les clés d'accès utilisent la cryptographie à clé publique pour fournir une authentification solide, résistante au hameçonnage et plus sécurisée que les mots de passe. AWS prend en charge deux types de clés d'accès : les clés d'accès liées à l'appareil (clés de sécurité) et les clés d'accès synchronisées.

  • Clés de sécurité : il s'agit de périphériques physiques YubiKey, tels que a, utilisés comme deuxième facteur d'authentification. Une clé de sécurité unique peut prendre en charge plusieurs comptes et IAM utilisateurs root.

  • Clés d’accès synchronisées : elles utilisent des gestionnaires d’informations d’identification provenant de fournisseurs tels que Google, Apple, Microsoft et de services tiers tels que 1Password, Dashlane et Bitwarden comme deuxième facteur.

Vous pouvez utiliser des authentificateurs biométriques intégrés, tels que Touch ID sur Apple MacBooks, pour déverrouiller votre gestionnaire d'identifiants et vous y connecter. AWS Les clés d'accès sont créées avec le fournisseur de votre choix à l'aide de votre empreinte digitale, de votre visage ou de votre appareilPIN. Vous pouvez synchroniser les clés d'accès sur tous vos appareils pour faciliter les connexions et améliorer la convivialité AWS et la récupérabilité.

IAMne prend pas en charge l'enregistrement de clés d'accès locales pour Windows Hello. Pour créer et utiliser des clés d’accès, les utilisateurs de Windows doivent utiliser l’authentification entre appareils, qui consiste à utiliser une clé d’accès provenant d’un appareil, comme un appareil mobile, ou une clé de sécurité matérielle pour se connecter sur un autre appareil, tel qu’un ordinateur portable. L'FIDOAlliance tient à jour une liste de tous les produits FIDO certifiés compatibles avec les FIDO spécifications. Pour plus d’informations sur l’activation des clés d’accès et des clés de sécurité, consultez Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console).

Applications d’authentification virtuelle

Une application d’authentification virtuelle s’exécute sur un téléphone ou un autre dispositif et émule un dispositif physique. Les applications d'authentification virtuelle mettent en œuvre l'algorithme du mot de passe à usage unique (TOTP) basé sur le temps et prennent en charge plusieurs jetons sur un seul appareil. L’utilisateur doit saisir un code valide à partir du dispositif lorsqu’il y est invité lors de la connexion. Chaque jeton attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code provenant du jeton d’un autre utilisateur pour s’authentifier.

Nous vous recommandons d'utiliser un MFA appareil virtuel en attendant l'approbation de l'achat du matériel ou en attendant l'arrivée de votre matériel. Pour obtenir la liste de quelques applications prises en charge que vous pouvez utiliser comme MFA appareils virtuels, voir Authentification multifactorielle (MFA). Pour obtenir des instructions sur la configuration d'un MFA périphérique virtuel avec AWS, consultezActiver un MFA périphérique virtuel pour l'utilisateur root (console).

TOTPJetons matériels

Un périphérique matériel génère un code numérique à six chiffres basé sur l'algorithme du mot de passe à usage unique () TOTP basé sur le temps. L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion. Chaque MFA appareil attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d'informations sur les MFA périphériques matériels pris en charge, voir Authentification multifactorielle (MFA). Pour obtenir des instructions sur la configuration d'un TOTP jeton matériel avec AWS, consultezActiver un TOTP jeton matériel pour l'utilisateur root (console).

Si vous souhaitez utiliser un MFA appareil physique, nous vous recommandons d'utiliser des clés FIDO de sécurité comme alternative aux TOTP périphériques matériels. FIDOles clés de sécurité offrent l'avantage de ne pas nécessiter de batterie, de résister au phishing et de prendre en charge plusieurs IAM utilisateurs et root sur un seul appareil pour une sécurité renforcée.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.