Gérer l'authentification ID de constructeur AWS multifactorielle () MFA - AWS Connectez-vous

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer l'authentification ID de constructeur AWS multifactorielle () MFA

L'authentification MFA multifactorielle () est un mécanisme simple et efficace pour renforcer votre sécurité. Le premier facteur, votre mot de passe, est un secret que vous mémorisez, également appelé facteur de connaissance. Les autres facteurs peuvent être des facteurs liés à la possession (ce que vous possédez, comme une clé de sécurité) ou des facteurs inhérents (ce que vous êtes, comme un scan biométrique). Nous vous recommandons vivement de configurer MFA pour ajouter une couche supplémentaire à votre ID de constructeur AWS.

Nous vous recommandons d'enregistrer plusieurs MFA appareils. Par exemple, vous pouvez enregistrer un authentificateur intégré ainsi qu'une clé de sécurité que vous conservez dans un endroit physiquement sûr. Si vous ne parvenez pas à utiliser votre authentificateur intégré, vous pouvez utiliser votre clé de sécurité enregistrée. Pour les applications d'authentification, vous pouvez également activer la fonctionnalité de sauvegarde ou de synchronisation dans le cloud dans ces applications. Cela vous permet d'éviter de perdre l'accès à votre profil si vous perdez ou cassez votre MFA appareil.

Note

Nous vous recommandons de vérifier régulièrement vos MFA appareils enregistrés pour vous assurer qu'ils sont à jour et fonctionnels. En outre, vous devez stocker ces appareils dans un endroit physiquement sûr lorsqu'ils ne sont pas utilisés. Si vous perdez l'accès à tous les MFA appareils enregistrés, vous ne pourrez pas récupérer votre ID de constructeur AWS.

MFATypes disponibles pour ID de constructeur AWS

ID de constructeur AWS prend en charge les types de périphériques d'authentification MFA multifactorielle () suivants.

FIDO2authentificateurs

FIDO2est une norme qui inclut CTAP2 WebAuthnet est basée sur la cryptographie à clé publique. FIDOles informations d'identification résistent au hameçonnage car elles sont uniques au site Web sur lequel elles ont été créées, par exemple. AWS

AWS prend en charge les deux formats les plus courants pour les FIDO authentificateurs : les authentificateurs intégrés et les clés de sécurité. Voir ci-dessous pour plus d'informations sur les types d'FIDOauthentificateurs les plus courants.

Authentificateurs intégrés

Certains appareils sont dotés d'authentificateurs intégrés, tels que TouchID activé MacBook ou un appareil photo compatible avec Windows Hello. Si votre appareil est compatible avec les FIDO protocoles, notamment WebAuthn, vous pouvez utiliser votre empreinte digitale ou votre visage comme deuxième facteur. Pour plus d'informations, consultez FIDOAuthentification.

Clés de sécurité

Vous pouvez acheter une FIDO2 clé de sécurité externe USB NFC compatible ou connectée. BLE Lorsque vous êtes invité à saisir un MFA appareil, appuyez sur le capteur de la touche. YubiKey ou Feitian fabrique des appareils compatibles. Pour obtenir la liste de toutes les clés de sécurité compatibles, consultez la section Produits FIDO certifiés.

Gestionnaires de mots de passe, fournisseurs de clés d'accès et autres authentificateurs FIDO

Plusieurs fournisseurs tiers prennent en charge FIDO l'authentification dans les applications mobiles, sous forme de fonctionnalités dans les gestionnaires de mots de passe, les cartes à puce dotées d'un FIDO mode et d'autres formats. Ces appareils FIDO compatibles peuvent fonctionner avec IAM Identity Center, mais nous vous recommandons de tester vous-même un FIDO authentificateur avant d'activer cette option pour. MFA

Note

Certains FIDO authentificateurs peuvent créer des informations d'FIDOidentification détectables appelées clés d'accès. Les clés d'accès peuvent être liées à l'appareil qui les a créées, ou elles peuvent être synchronisées et sauvegardées dans un cloud. Par exemple, vous pouvez enregistrer une clé d'accès à l'aide d'Apple Touch ID sur un Macbook compatible, puis vous connecter à un site depuis un ordinateur portable Windows à l'aide de Google Chrome avec votre clé d'accès iCloud en suivant les instructions à l'écran lors de la connexion. Pour plus d'informations sur les appareils compatibles avec les clés d'accès synchronisées et sur l'interopérabilité actuelle des clés d'accès entre les systèmes d'exploitation et les navigateurs, consultez la section Support des appareils sur passkeys.dev, une ressource gérée par l'FIDOAlliance et le World Wide Web Consortium (W3C).

Applications d'authentification

Les applications d'authentification sont des authentificateurs tiers basés sur un mot de passe à usage unique (OTP). Vous pouvez utiliser une application d'authentification installée sur votre appareil mobile ou votre tablette en tant qu'appareil autoriséMFA. L'application d'authentification tierce doit être conforme à la norme RFC 6238, qui est un algorithme de mot de passe à usage unique (TOTP) basé sur des normes et basé sur le temps capable de générer des codes d'authentification à six chiffres.

Lorsque vous y êtes invitéMFA, vous devez saisir un code valide provenant de votre application d'authentification dans la zone de saisie qui s'affiche. Chaque MFA appareil attribué à un utilisateur doit être unique. Deux applications d'authentification peuvent être enregistrées pour un utilisateur donné.

Vous pouvez choisir parmi les applications d'authentification tierces bien connues suivantes. Cependant, toute application TOTP compatible fonctionne avec ID de constructeur AWS MFA.

Enregistrez votre ID de constructeur AWS MFA appareil

Note

Une fois que vous vous êtes MFA inscrit, déconnecté, puis connecté sur le même appareil, il se peut que vous ne soyez pas invité à MFA le faire sur les appareils fiables.

Pour enregistrer votre MFA appareil à l'aide d'une application d'authentification
  1. Connectez-vous à votre ID de constructeur AWS profil à l'adressehttps://profile.aws.amazon.com.

  2. Choisissez Security (Sécurité).

  3. Sur la page Sécurité, choisissez Enregistrer l'appareil.

  4. Sur la page Enregistrer MFA un appareil, choisissez l'application Authenticator.

  5. ID de constructeur AWS fonctionne et affiche les informations de configuration, y compris un graphique de code QR. Le graphique est une représentation de la « clé de configuration secrète » qui peut être saisie manuellement dans les applications d'authentification qui ne prennent pas en charge les codes QR.

  6. Ouvrez votre application d'authentification. Pour obtenir la liste des applications, consultezApplications d'authentification.

    Si l'application d'authentification prend en charge plusieurs MFA appareils ou comptes, choisissez l'option permettant de créer un nouvel MFA appareil ou un nouveau compte.

  7. Déterminez si l'MFAapplication prend en charge les codes QR, puis effectuez l'une des opérations suivantes sur la page Configurer votre application d'authentification :

    1. Choisissez Afficher le code QR, puis utilisez l'application pour scanner le code QR. Par exemple, vous pouvez choisir l'icône de l'appareil photo ou une option similaire à Scanner le code. Utilisez ensuite l'appareil photo de l'appareil pour scanner le code.

    2. Choisissez Afficher la clé secrète, puis entrez cette clé secrète dans votre MFA application.

    Lorsque vous aurez terminé, votre application d'authentification générera et affichera un mot de passe à usage unique.

  8. Dans le champ Code d'authentification, entrez le mot de passe à usage unique qui apparaît actuellement dans votre application d'authentification. Choisissez AttribuerMFA.

    Important

    Envoyez votre demande immédiatement après avoir généré le code. Si vous générez le code puis attendez trop longtemps pour envoyer la demande, l'MFAappareil est correctement associé au vôtre ID de constructeur AWS, mais il n'est pas synchronisé. MFA Cela se produit parce que les mots de passe à usage unique basés sur le temps (TOTP) expirent après un court laps de temps. Dans ce cas, vous pouvez resynchroniser le dispositif. Pour de plus amples informations, veuillez consulter Je reçois le message « Une erreur inattendue s'est produite » lorsque j'essaie de m'inscrire ou de me connecter avec une application d'authentification.

  9. Pour attribuer un nom convivial à votre appareil ID de constructeur AWS, choisissez Renommer. Ce nom vous permet de distinguer cet appareil des autres appareils que vous enregistrez.

L'MFAappareil est maintenant prêt à être utilisé avec ID de constructeur AWS.

Enregistrez une clé de sécurité comme ID de constructeur AWS MFA appareil

Pour enregistrer votre MFA appareil à l'aide d'une clé de sécurité
  1. Connectez-vous à votre ID de constructeur AWS profil à l'adressehttps://profile.aws.amazon.com.

  2. Choisissez Security (Sécurité).

  3. Sur la page Sécurité, choisissez Enregistrer l'appareil.

  4. Sur la page Enregistrer MFA l'appareil, sélectionnez Clé de sécurité.

  5. Assurez-vous que votre clé de sécurité est activée. Si vous utilisez une clé de sécurité physique distincte, connectez-la à votre ordinateur.

  6. Suivez les instructions qui s'affichent à l'écran. Votre expérience varie en fonction de votre système d'exploitation et de votre navigateur.

  7. Pour attribuer un nom convivial à votre appareil ID de constructeur AWS, choisissez Renommer. Ce nom vous permet de distinguer cet appareil des autres appareils que vous enregistrez.

L'MFAappareil est maintenant prêt à être utilisé avec ID de constructeur AWS.

Renommez votre appareil ID de constructeur AWS MFA

Pour renommer votre appareil MFA
  1. Connectez-vous à votre ID de constructeur AWS profil à l'adressehttps://profile.aws.amazon.com.

  2. Choisissez Security (Sécurité). Lorsque vous arrivez sur la page, vous voyez que Renommer est grisé.

  3. Sélectionnez l'MFAappareil que vous souhaitez modifier. Cela vous permet de choisir Renommer. Ensuite, une boîte de dialogue apparaît.

  4. Dans l'invite qui s'affiche, entrez le nouveau nom dans le nom de MFAl'appareil, puis choisissez Renommer. L'appareil renommé apparaît sous Appareils d'authentification multifactorielle (MFA).

Supprimer votre MFA appareil

Nous vous recommandons de conserver au moins deux MFA appareils actifs. Avant de retirer un appareil, consultez la section Enregistrez votre ID de constructeur AWS MFA appareil pour enregistrer un MFA appareil de remplacement. Pour désactiver l'authentification multifactorielle pour vous ID de constructeur AWS, supprimez tous les MFA appareils enregistrés de votre profil.

Pour supprimer un MFA appareil
  1. Connectez-vous à votre ID de constructeur AWS profil à l'adressehttps://profile.aws.amazon.com.

  2. Choisissez Security (Sécurité).

  3. Sélectionnez l'MFAappareil que vous souhaitez modifier, puis choisissez Supprimer.

  4. Dans l'MFAappareil Supprimer ? modal, suivez les instructions pour supprimer votre appareil.

  5. Sélectionnez Delete (Supprimer).

L'appareil supprimé n'apparaît plus sous Appareils d'authentification multifactorielle (MFA).