Configurations prises en charge pour l'utilisation des clés d'accès et des clés de sécurité - AWS Identity and Access Management
FIDO2appareils pris en charge par AWSNavigateurs compatibles FIDO2Certifications des appareilsAWS CLI et AWS APIRessources supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurations prises en charge pour l'utilisation des clés d'accès et des clés de sécurité

Vous pouvez utiliser des clés d'accès FIDO2 liées à l'appareil, également appelées clés de sécurité, comme méthode d'authentification multifactorielle (MFA) en IAM utilisant les configurations actuellement prises en charge. Il s'agit notamment FIDO2 des appareils pris en charge par IAM et des navigateurs compatiblesFIDO2. Avant d'enregistrer votre FIDO2 appareil, vérifiez que vous utilisez la dernière version du navigateur et du système d'exploitation (OS). Les fonctionnalités peuvent se comporter différemment selon les navigateurs, les authentificateurs et les clients du système d'exploitation. Si l'enregistrement de votre appareil échoue sur un navigateur, vous pouvez essayer de vous enregistrer avec un autre navigateur.

FIDO2est une norme d'authentification ouverte et une extension de FIDO U2F, offrant le même haut niveau de sécurité basé sur la cryptographie à clé publique. FIDO2comprend la spécification d'authentification Web du W3C (WebAuthn API) et le protocole FIDO Alliance Client-to-Authenticator (CTAP), un protocole de couche application. CTAPpermet la communication entre un client ou une plateforme, comme un navigateur ou un système d'exploitation, avec un authentificateur externe. Lorsque vous activez un authentificateur FIDO certifié AWS, la clé de sécurité crée une nouvelle paire de clés à utiliser uniquement avec. AWS Tout d'abord, saisissez vos informations d'identification. Lorsque vous y êtes invité, vous appuyez sur la clé de sécurité, qui répond au défi d'authentification émis par AWS. Pour en savoir plus sur la FIDO2 norme, consultez le FIDO2projet.

FIDO2appareils pris en charge par AWS

IAMprend en charge les dispositifs de FIDO2 sécurité qui se connectent à vos appareils via USB Bluetooth ouNFC. IAMprend également en charge les authentificateurs de plateforme tels que TouchID ou FaceID. IAMne prend pas en charge l'enregistrement de clés d'accès locales pour Windows Hello. Pour créer et utiliser des clés d'accès, les utilisateurs de Windows doivent utiliser l'authentification multi-appareils, qui consiste à utiliser une clé d'accès provenant d'un appareil, comme un appareil mobile, ou une clé de sécurité matérielle pour se connecter sur un autre appareil, tel qu'un ordinateur portable.

Note

AWS nécessite l'accès au USB port physique de votre ordinateur pour vérifier votre FIDO2 appareil. Les clés de sécurité ne fonctionneront pas avec une machine virtuelle, une connexion à distance ou le mode navigation privée d'un navigateur.

L'FIDOAlliance tient à jour une liste de tous les FIDO2produits compatibles avec les FIDO spécifications.

Navigateurs compatibles FIDO2

La disponibilité des dispositifs de FIDO2 sécurité exécutés dans un navigateur Web dépend de la combinaison du navigateur et du système d'exploitation. Les navigateurs suivants prennent actuellement en charge l'utilisation de clés de sécurité :

Navigateur Web macOS 10.15+ Windows 10 Linux iOS 14.5+ Android 7+
Chrome Oui Oui Oui Oui Non
Safari Oui Non Non Oui Non
Edge Oui Oui Non Oui Non
Firefox Oui Oui Non Oui Non
Note

La plupart des versions de Firefox actuellement compatibles FIDO2 ne l'activent pas par défaut. Pour obtenir des instructions sur l'activation du FIDO2 support dans Firefox, consultezRésoudre les problèmes liés aux clés FIDO de sécurité.

Pour plus d'informations sur la prise en charge par navigateur pour un appareil FIDO2 certifié tel que YubiKey, voir Support du système d'exploitation et du navigateur Web pour FIDO2 U2F.

Plug-ins de navigateur

AWS ne prend en charge que les navigateurs compatibles nativement. FIDO2 AWS ne prend pas en charge l'utilisation de plugins pour ajouter FIDO2 le support du navigateur. Certains plugins de navigateur sont incompatibles avec la FIDO2 norme et peuvent entraîner des résultats inattendus avec les clés FIDO2 de sécurité.

Pour plus d'informations sur la désactivation des plug-ins et pour obtenir d'autres conseils de dépannage, consultez Je ne parviens pas à activer ma clé FIDO de sécurité.

Certifications des appareils

Nous capturons et attribuons les certifications relatives aux appareils, telles que le niveau de FIPS validation et de FIDO certification, uniquement lors de l'enregistrement d'une clé de sécurité. La certification de votre appareil est extraite du service de métadonnées FIDO Alliance (MDS). Si le statut ou le niveau de certification de votre clé de sécurité change, cela ne sera pas automatiquement reflété dans les balises de l'appareil. Pour mettre à jour les informations de certification d'un appareil, enregistrez à nouveau l'appareil pour récupérer les informations de certification mises à jour.

AWS fournit les types de certification suivants sous forme de clés de condition lors de l'enregistrement de l'appareil, obtenus à partir des niveaux FIDO MDS : FIPS -140-2, FIPS -140-3 et de certification. FIDO Vous avez la possibilité de spécifier l'enregistrement d'authentificateurs spécifiques dans leurs IAM politiques, en fonction du type et du niveau de certification que vous préférez. Pour plus d'informations, consultez les politiques ci-dessous.

Exemples de politiques pour la certification des appareils

Les cas d'utilisation suivants présentent des exemples de politiques qui vous permettent d'enregistrer MFA des appareils avec des FIPS certifications.

Cas d'utilisation 1 : autoriser l'enregistrement uniquement des appareils dotés de certifications L2 de FIPS -140-2

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}

Cas d'utilisation 2 : Autoriser l'enregistrement des appareils dotés des certifications L2 et L1 FIPS -140-2 FIDO

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}

Cas d'utilisation 3 : Autoriser l'enregistrement des appareils dotés des certifications FIPS -140-2 L2 ou -140-3 L2 FIPS

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}

Cas d'utilisation 4 : Autoriser l'enregistrement des appareils dotés de la certification FIPS L2 -140-2 et prenant en charge d'autres MFA types tels que les authentificateurs virtuels et le matériel TOTP

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Activate",
                    "iam:FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iam:RegisterSecurityKey": "true"
                }
            }
        }
    ]
}

AWS CLI et AWS API

AWS prend en charge l'utilisation de clés d'accès et de clés de sécurité uniquement dans le AWS Management Console. L'utilisation de clés d'accès et de clés de sécurité pour n'MFAest pas prise en charge dans le AWS CLIet AWS API, ni pour l'accès à des MFAopérations protégées API.

Ressources supplémentaires