Konfigurasi yang didukung untuk menggunakan kunci keamanan dan kunci keamanan - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi yang didukung untuk menggunakan kunci keamanan dan kunci keamanan

Anda dapat menggunakan kunci sandi yang FIDO2 terikat perangkat lunak, sebagai metode autentikasi multi-faktor (MFA) dengan menggunakan konfigurasi yang didukung saat ini. IAM Ini termasuk FIDO2 perangkat yang didukung oleh IAM dan browser yang mendukungFIDO2. Sebelum Anda mendaftarkan FIDO2 perangkat Anda, periksa apakah Anda menggunakan versi browser dan sistem operasi (OS) terbaru. Fitur dapat berperilaku berbeda di berbagai browser, autentikator, dan klien OS. Jika pendaftaran perangkat Anda gagal pada satu browser, Anda dapat mencoba mendaftar dengan browser lain.

FIDO2adalah standar otentikasi terbuka dan perpanjangan dari FIDO U2F, menawarkan tingkat keamanan yang sama tinggi berdasarkan kriptografi kunci publik. FIDO2terdiri dari spesifikasi W3C Web Authentication (WebAuthn API) dan FIDO Alliance Client-to-Authenticator Protocol (CTAP), protokol lapisan aplikasi. CTAPmemungkinkan komunikasi antara klien atau platform, seperti browser atau sistem operasi, dengan autentikator eksternal. Saat Anda mengaktifkan Authenticator FIDO Bersertifikat di AWS, kunci keamanan menciptakan key pair baru untuk penggunaan hanya AWS dengan. Pertama, Anda memasukkan kredensial Anda. Saat diminta, Anda mengetuk kunci keamanan, yang menanggapi tantangan otentikasi yang diterbitkan oleh. AWS Untuk mempelajari lebih lanjut tentang FIDO2 standar, lihat FIDO2Proyek.

FIDO2perangkat yang didukung oleh AWS

IAMmendukung perangkat FIDO2 keamanan yang terhubung ke perangkat Anda melaluiUSB, Bluetooth, atauNFC. IAMjuga mendukung otentikator platform seperti TouchID atau FaceID. IAMtidak mendukung pendaftaran passkey lokal untuk Windows Hello. Untuk membuat dan menggunakan kunci sandi, pengguna Windows harus menggunakan otentikasi lintas perangkat di mana Anda menggunakan kunci sandi dari satu perangkat seperti perangkat seluler atau kunci keamanan perangkat keras untuk masuk di perangkat lain seperti laptop.

catatan

AWS memerlukan akses ke USB port fisik di komputer untuk memverifikasi FIDO2 perangkat Anda. Kunci keamanan tidak akan bekerja dengan mesin virtual, koneksi jarak jauh, atau mode penyamaran peramban.

FIDOAliansi menyimpan daftar semua FIDO2produk yang kompatibel dengan FIDO spesifikasi.

Peramban yang mendukung FIDO2

Ketersediaan perangkat FIDO2 keamanan yang berjalan di browser web tergantung pada kombinasi browser dan sistem operasi. Peramban berikut saat ini mendukung penggunaan kunci keamanan:

Peramban web macOS 10.15+ Windows 10 Linux iOS 14.5+ Android 7+
Chrome Ya Ya Ya Ya Tidak
Safari Ya Tidak Tidak Ya Tidak
Edge Ya Ya Tidak Ya Tidak
Firefox Ya Ya Tidak Ya Tidak
catatan

Sebagian besar versi Firefox yang saat ini mendukung FIDO2 tidak mengaktifkan dukungan secara default. Untuk petunjuk tentang mengaktifkan FIDO2 dukungan di Firefox, lihatMemecahkan masalah kunci keamanan FIDO.

Untuk informasi selengkapnya tentang dukungan browser untuk perangkat FIDO2 -Certified seperti YubiKey, lihat Sistem operasi dan dukungan browser web untuk FIDO2 dan U2F.

Plugin peramban

AWS hanya mendukung browser yang mendukung FIDO2 secara langsung. AWS tidak mendukung penggunaan plugin untuk menambahkan dukungan FIDO2 browser. Beberapa plugin browser tidak kompatibel dengan FIDO2 standar dan dapat menyebabkan hasil yang tidak terduga dengan kunci FIDO2 keamanan.

Untuk informasi tentang menonaktifkan plugin peramban dan tips pemecahan masalah lainnya, lihat Saya tidak dapat mengaktifkan kunci FIDO keamanan saya.

Sertifikasi perangkat lunak

Kami menangkap dan menetapkan sertifikasi terkait perangkat, seperti FIPS validasi dan tingkat FIDO sertifikasi, hanya selama pendaftaran kunci keamanan. Sertifikasi perangkat Anda diambil dari Layanan Metadata FIDO Aliansi (). MDS Jika status sertifikasi atau tingkat kunci keamanan Anda berubah, itu tidak akan tercermin dalam tag perangkat secara otomatis. Untuk memperbarui informasi sertifikasi perangkat, daftarkan perangkat lagi untuk mengambil informasi sertifikasi yang diperbarui.

AWS menyediakan jenis sertifikasi berikut sebagai kunci kondisi selama pendaftaran perangkat, diperoleh dari FIDOMDS: FIPS -140-2, -140-3, dan FIPS tingkat sertifikasi. FIDO Anda memiliki kemampuan untuk menentukan pendaftaran autentikator tertentu dalam IAM kebijakan mereka, berdasarkan jenis dan tingkat sertifikasi pilihan Anda. Untuk informasi selengkapnya, lihat kebijakan di bawah.

Contoh kebijakan untuk sertifikasi perangkat

Kasus penggunaan berikut menunjukkan contoh kebijakan yang memungkinkan Anda mendaftarkan MFA perangkat dengan FIPS sertifikasi.

Kasus penggunaan 1: Izinkan mendaftarkan hanya perangkat yang memiliki sertifikasi FIPS -140-2 L2

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } } ] }

Kasus penggunaan 2: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS -140-2 L2 dan L1 FIDO

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2", "iam:FIDO-certification": "L1" } } } ] }

Kasus penggunaan 3: Izinkan mendaftarkan perangkat yang memiliki sertifikasi -140-2 L2 atau FIPS -140-3 L2 FIPS

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L2" } } } ] }

Kasus penggunaan 4: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS -140-2 L2 dan mendukung MFA jenis lain seperti otentikator virtual dan perangkat keras TOTP

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Activate", "iam:FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "Null": { "iam:RegisterSecurityKey": "true" } } } ] }

AWS CLI dan AWS API

AWS mendukung penggunaan kunci sandi dan kunci keamanan hanya di. AWS Management Console Menggunakan kunci sandi dan kunci keamanan untuk MFA tidak didukung di AWS CLIdan AWS API, atau untuk akses ke operasi MFAyang dilindungi API.

Sumber daya tambahan