Izin diperlukan Aktifkan kunci sandi atau kunci keamanan untuk IAM pengguna Anda sendiri (konsol)Aktifkan kunci sandi atau kunci keamanan untuk IAM pengguna lain (konsol)Ganti kunci sandi atau kunci keamanan

Tetapkan kunci sandi atau kunci keamanan di AWS Management Console

Kunci sandi adalah jenis perangkat otentikasi multi-faktor (MFA) yang dapat Anda gunakan untuk melindungi sumber daya Anda. AWS AWS mendukung kunci sandi yang disinkronkan dan kunci sandi terikat perangkat yang juga dikenal sebagai kunci keamanan.

Kunci sandi yang disinkronkan memungkinkan IAM pengguna mengakses kredensi FIDO masuk mereka di banyak perangkat mereka, bahkan yang baru, tanpa harus mendaftarkan ulang setiap perangkat di setiap akun. Kunci sandi yang disinkronkan mencakup manajer kredensi pihak pertama seperti Google, Apple, dan Microsoft dan manajer kredensi pihak ketiga seperti 1Password, Dashlane, dan Bitwarden sebagai faktor kedua. Anda juga dapat menggunakan biometrik pada perangkat (misalnya, TouchID, FaceID) untuk membuka kunci pengelola kredensi pilihan Anda untuk menggunakan kunci sandi.

Atau, kunci sandi terikat perangkat terikat ke kunci FIDO keamanan yang Anda colokkan ke USB port di komputer Anda dan kemudian ketuk saat diminta untuk menyelesaikan proses masuk dengan aman. Jika Anda sudah menggunakan kunci FIDO keamanan dengan layanan lain, dan memiliki konfigurasi yang AWS didukung (misalnya, Seri YubiKey 5 dari Yubico), Anda juga dapat menggunakannya dengan. AWS Jika tidak, Anda perlu membeli kunci FIDO keamanan jika Anda ingin menggunakannya WebAuthn untuk MFA masuk AWS. Selain itu, kunci FIDO keamanan dapat mendukung beberapa IAM atau pengguna root pada perangkat yang sama, meningkatkan utilitas mereka untuk keamanan akun. Untuk spesifikasi dan informasi pembelian untuk kedua jenis perangkat, lihat Autentikasi Multi-Faktor.

Anda dapat mendaftarkan hingga delapan MFA perangkat dari kombinasi MFAjenis yang saat ini didukung dengan Anda Pengguna root akun AWS dan IAM pengguna. Dengan beberapa MFA perangkat, Anda hanya perlu satu MFA perangkat untuk masuk ke AWS Management Console atau membuat sesi melalui AWS CLI sebagai pengguna tersebut. Kami menyarankan Anda mendaftarkan beberapa MFA perangkat. Misalnya, Anda dapat mendaftarkan autentikator bawaan dan juga mendaftarkan kunci keamanan yang Anda simpan di lokasi yang aman secara fisik. Jika Anda tidak dapat menggunakan autentikator bawaan Anda, maka Anda dapat menggunakan kunci keamanan terdaftar Anda. Untuk aplikasi autentikator, kami juga menyarankan untuk mengaktifkan fitur pencadangan atau sinkronisasi cloud di aplikasi tersebut untuk membantu Anda menghindari kehilangan akses ke akun jika Anda kehilangan atau merusak perangkat Anda dengan aplikasi autentikator.

catatan

Kami menyarankan Anda meminta pengguna manusia Anda untuk menggunakan kredensi sementara saat mengakses. AWS Pengguna Anda dapat bergabung AWS dengan penyedia identitas tempat mereka mengautentikasi dengan kredensi dan konfigurasi perusahaan mereka. MFA Untuk mengelola akses ke AWS dan aplikasi bisnis, kami sarankan Anda menggunakan Pusat IAM Identitas. Untuk informasi selengkapnya, lihat Panduan Pengguna Pusat IAM Identitas.

Topik

Izin diperlukan
Aktifkan kunci sandi atau kunci keamanan untuk IAM pengguna Anda sendiri (konsol)
Aktifkan kunci sandi atau kunci keamanan untuk IAM pengguna lain (konsol)
Ganti kunci sandi atau kunci keamanan
Konfigurasi yang didukung untuk menggunakan kunci sandi dan kunci keamanan

Izin diperlukan

Untuk mengelola FIDO kunci sandi bagi IAM pengguna Anda sendiri sambil melindungi tindakan sensitif MFA terkait, Anda harus memiliki izin dari kebijakan berikut:

catatan

ARNNilainya adalah nilai statis dan bukan merupakan indikator protokol apa yang digunakan untuk mendaftarkan autentikator. Kami telah menghentikan U2F, jadi semua implementasi baru digunakan. WebAuthn


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Aktifkan kunci sandi atau kunci keamanan untuk IAM pengguna Anda sendiri (konsol)

Anda dapat mengaktifkan kunci sandi atau kunci keamanan untuk IAM pengguna Anda sendiri dari AWS Management Console satu-satunya, bukan dari AWS CLI atau AWS API. Sebelum Anda dapat mengaktifkan kunci keamanan, Anda harus memiliki akses fisik ke perangkat.

Untuk mengaktifkan kunci sandi atau kunci keamanan untuk IAM pengguna Anda sendiri (konsol)

Gunakan ID AWS akun atau alias akun, nama IAM pengguna, dan kata sandi Anda untuk masuk ke IAMkonsol.

catatan
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama IAM pengguna dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih Masuk ke akun lain dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login IAM pengguna untuk akun Anda.

Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.
Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih Kredensi keamanan.
Pada halaman IAM pengguna yang dipilih, pilih tab Security credentials.
Di bawah Autentikasi multi-faktor (MFA), pilih MFATetapkan perangkat.
Pada halaman nama MFA perangkat, masukkan nama Perangkat, pilih Kunci Sandi atau Kunci Keamanan, lalu pilih Berikutnya.
Pada Siapkan perangkat, atur kunci sandi Anda. Buat passkey dengan data biometrik seperti wajah atau sidik jari Anda, dengan pin perangkat, atau dengan memasukkan kunci FIDO keamanan ke USB port komputer Anda dan mengetuknya.
Ikuti petunjuk di browser Anda dan kemudian pilih Lanjutkan.

Anda sekarang telah mendaftarkan kunci sandi atau kunci keamanan Anda untuk digunakan. AWS Untuk informasi tentang menggunakan MFA dengan AWS Management Console, lihatMFAmengaktifkan login.

Aktifkan kunci sandi atau kunci keamanan untuk IAM pengguna lain (konsol)

Anda dapat mengaktifkan kunci sandi atau keamanan untuk IAM pengguna lain dari AWS Management Console satu-satunya, bukan dari AWS CLI atau AWS API.

Untuk mengaktifkan kunci sandi atau keamanan untuk IAM pengguna lain (konsol)

Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.
Di panel navigasi, pilih Pengguna.
Di bawah Pengguna, pilih nama pengguna yang ingin Anda aktifkanMFA.
Pada halaman IAM pengguna yang dipilih, pilih tab Security Credentials.
Di bawah Autentikasi multi-faktor (MFA), pilih MFATetapkan perangkat.
Pada halaman nama MFA perangkat, masukkan nama Perangkat, pilih Kunci Sandi atau Kunci Keamanan, lalu pilih Berikutnya.
Pada Siapkan perangkat, atur kunci sandi Anda. Buat passkey dengan data biometrik seperti wajah atau sidik jari Anda, dengan pin perangkat, atau dengan memasukkan kunci FIDO keamanan ke USB port komputer Anda dan mengetuknya.
Ikuti petunjuk di browser Anda dan kemudian pilih Lanjutkan.

Anda sekarang telah mendaftarkan kunci sandi atau kunci keamanan untuk digunakan IAM pengguna lain. AWS Untuk informasi tentang menggunakan MFA dengan AWS Management Console, lihatMFAmengaktifkan login.

Ganti kunci sandi atau kunci keamanan

Anda dapat memiliki hingga delapan MFA perangkat dari kombinasi MFAjenis yang saat ini didukung yang ditetapkan untuk pengguna pada satu waktu dengan Anda Pengguna root akun AWS dan IAM pengguna. Jika pengguna kehilangan FIDO autentikator atau perlu menggantinya karena alasan apa pun, Anda harus menonaktifkan autentikator lama FIDO terlebih dahulu. Kemudian Anda dapat menambahkan MFA perangkat baru untuk pengguna.

Untuk menonaktifkan perangkat yang saat ini dikaitkan dengan IAM pengguna, lihatNonaktifkan perangkat MFA.
Untuk menambahkan kunci FIDO keamanan baru bagi IAM pengguna, lihatAktifkan kunci sandi atau kunci keamanan untuk IAM pengguna Anda sendiri (konsol).

Jika Anda tidak memiliki akses ke kunci sandi atau kunci keamanan baru, Anda dapat mengaktifkan MFA perangkat virtual atau TOTP token perangkat keras baru. Lihat salah satu dari yang berikut untuk petunjuk:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Autentikasi multi-faktor

Konfigurasi yang didukung untuk menggunakan kunci sandi dan kunci keamanan