Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasi yang didukung untuk menggunakan kunci sandi dan kunci keamanan
Anda dapat menggunakan kunci sandi FIDO2 terikat perangkat, juga dikenal sebagai kunci keamanan, sebagai metode otentikasi multi-faktor (MFA) dengan menggunakan konfigurasi yang didukung saat ini. IAM Ini termasuk FIDO2 perangkat yang didukung oleh IAM dan browser yang mendukungFIDO2. Sebelum Anda mendaftarkan FIDO2 perangkat Anda, periksa apakah Anda menggunakan versi browser dan sistem operasi (OS) terbaru. Fitur dapat berperilaku berbeda di berbagai browser, autentikator, dan klien OS. Jika pendaftaran perangkat Anda gagal pada satu browser, Anda dapat mencoba mendaftar dengan browser lain.
FIDO2adalah standar otentikasi terbuka dan perpanjangan dari FIDO U2F, menawarkan tingkat keamanan yang sama tinggi berdasarkan kriptografi kunci publik. FIDO2terdiri dari spesifikasi W3C Web Authentication (WebAuthn API) dan FIDO Alliance Client-to-Authenticator Protocol (CTAP), sebuah protokol lapisan aplikasi. CTAPmemungkinkan komunikasi antara klien atau platform, seperti browser atau sistem operasi, dengan autentikator eksternal. Saat Anda mengaktifkan autentikator FIDO Bersertifikat AWS, kunci keamanan akan membuat key pair baru untuk digunakan dengan saja AWS. Pertama, Anda memasukkan kredensial Anda. Saat diminta, Anda mengetuk kunci keamanan, yang merespons tantangan otentikasi yang dikeluarkan oleh. AWS Untuk mempelajari lebih lanjut tentang FIDO2 standar, lihat FIDO2Proyek
FIDO2perangkat yang didukung oleh AWS
IAMmendukung perangkat FIDO2 keamanan yang terhubung ke perangkat Anda melaluiUSB, Bluetooth, atauNFC. IAMjuga mendukung otentikator platform seperti TouchID atau FaceID. IAMtidak mendukung pendaftaran passkey lokal untuk Windows Hello. Untuk membuat dan menggunakan kunci sandi, pengguna Windows harus menggunakan otentikasi lintas perangkat
catatan
AWS memerlukan akses ke USB port fisik di komputer Anda untuk memverifikasi FIDO2 perangkat Anda. Kunci keamanan tidak akan berfungsi dengan mesin virtual, koneksi jarak jauh, atau mode penyamaran browser.
FIDOAliansi menyimpan daftar semua FIDO2produk
Browser yang mendukung FIDO2
Ketersediaan perangkat FIDO2 keamanan yang berjalan di browser web tergantung pada kombinasi browser dan sistem operasi. Browser berikut saat ini mendukung penggunaan kunci keamanan:
| Browser web | macOS 10.15+ | Windows 10 | Linux | iOS 14.5+ | Android 7+ |
|---|---|---|---|---|---|
| Chrome | Ya | Ya | Ya | Ya | Tidak |
| Safari | Ya | Tidak | Tidak | Ya | Tidak |
| Edge | Ya | Ya | Tidak | Ya | Tidak |
| Firefox | Ya | Ya | Tidak | Ya | Tidak |
catatan
Sebagian besar versi Firefox yang saat ini mendukung FIDO2 tidak mengaktifkan dukungan secara default. Untuk petunjuk tentang mengaktifkan FIDO2 dukungan di Firefox, lihatMemecahkan masalah kunci keamanan FIDO.
Untuk informasi selengkapnya tentang dukungan browser untuk perangkat FIDO2 -Certified seperti YubiKey, lihat Sistem operasi dan dukungan browser web untuk FIDO2 dan U2F
Plugin peramban
AWS hanya mendukung browser yang mendukung FIDO2 secara native. AWS tidak mendukung penggunaan plugin untuk menambahkan dukungan FIDO2 browser. Beberapa plugin browser tidak kompatibel dengan FIDO2 standar dan dapat menyebabkan hasil yang tidak terduga dengan kunci FIDO2 keamanan.
Untuk informasi tentang menonaktifkan plugin peramban dan tips pemecahan masalah lainnya, lihat Saya tidak dapat mengaktifkan kunci FIDO keamanan saya.
Sertifikasi perangkat
Kami menangkap dan menetapkan sertifikasi terkait perangkat, seperti FIPS validasi dan tingkat FIDO sertifikasi, hanya selama pendaftaran kunci keamanan. Sertifikasi perangkat Anda diambil dari Layanan Metadata FIDO Aliansi
AWS menyediakan jenis sertifikasi berikut sebagai kunci kondisi selama pendaftaran perangkat, diperoleh dari FIDOMDS: FIPS -140-2, -140-3, dan FIPS tingkat sertifikasi. FIDO Anda memiliki kemampuan untuk menentukan pendaftaran autentikator tertentu dalam IAM kebijakan mereka, berdasarkan jenis dan tingkat sertifikasi pilihan Anda. Untuk informasi selengkapnya, lihat kebijakan di bawah ini.
Contoh kebijakan untuk sertifikasi perangkat
Kasus penggunaan berikut menunjukkan contoh kebijakan yang memungkinkan Anda mendaftarkan MFA perangkat dengan FIPS sertifikasi.
Topik
- Kasus penggunaan 1: Izinkan mendaftarkan hanya perangkat yang memiliki sertifikasi FIPS -140-2 L2
- Kasus penggunaan 2: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS -140-2 L2 dan L1 FIDO
- Kasus penggunaan 3: Izinkan mendaftarkan perangkat yang memiliki sertifikasi -140-2 L2 atau FIPS -140-3 L2 FIPS
- Kasus penggunaan 4: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS -140-2 L2 dan mendukung MFA jenis lain seperti otentikator virtual dan perangkat keras TOTP
Kasus penggunaan 1: Izinkan mendaftarkan hanya perangkat yang memiliki sertifikasi FIPS -140-2 L2
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } } ] }
Kasus penggunaan 2: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS -140-2 L2 dan L1 FIDO
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2", "iam:FIDO-certification": "L1" } } } ] }
Kasus penggunaan 3: Izinkan mendaftarkan perangkat yang memiliki sertifikasi -140-2 L2 atau FIPS -140-3 L2 FIPS
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L2" } } } ] }
Kasus penggunaan 4: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS -140-2 L2 dan mendukung MFA jenis lain seperti otentikator virtual dan perangkat keras TOTP
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Activate", "iam:FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "Null": { "iam:RegisterSecurityKey": "true" } } } ] }
AWS CLI dan AWS API
AWS mendukung penggunaan kunci sandi dan kunci keamanan hanya di. AWS Management Console Menggunakan kunci sandi dan kunci keamanan untuk MFA tidak didukung di AWS CLIdan AWS API
Sumber daya tambahan
-
Untuk informasi selengkapnya tentang penggunaan kunci sandi dan kunci keamanan AWS, lihatTetapkan kunci sandi atau kunci keamanan di AWS Management Console.
-
Untuk bantuan dalam memecahkan masalah kunci sandi dan kunci keamanan, lihat. AWSMemecahkan masalah kunci keamanan FIDO
-
Untuk informasi industri umum tentang FIDO2 dukungan, lihat FIDO2Proyek
.
