Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasi yang didukung untuk menggunakan kunci keamanan dan kunci keamanan
Anda dapat menggunakan kunci sandi yang FIDO2 terikat perangkat lunak, sebagai metode autentikasi multi-faktor (MFA) dengan menggunakan konfigurasi yang didukung saat ini. IAM Ini termasuk FIDO2 perangkat yang didukung oleh IAM dan browser yang mendukungFIDO2. Sebelum Anda mendaftarkan FIDO2 perangkat Anda, periksa apakah Anda menggunakan versi browser dan sistem operasi (OS) terbaru. Fitur dapat berperilaku berbeda di berbagai browser, autentikator, dan klien OS. Jika pendaftaran perangkat Anda gagal pada satu browser, Anda dapat mencoba mendaftar dengan browser lain.
FIDO2adalah standar otentikasi terbuka dan perpanjangan dari FIDO U2F, menawarkan tingkat keamanan yang sama tinggi berdasarkan kriptografi kunci publik. FIDO2terdiri dari spesifikasi W3C Web Authentication (WebAuthn API) dan FIDO Alliance Client-to-Authenticator Protocol (CTAP), protokol lapisan aplikasi. CTAPmemungkinkan komunikasi antara klien atau platform, seperti browser atau sistem operasi, dengan autentikator eksternal. Saat Anda mengaktifkan Authenticator FIDO Bersertifikat di AWS, kunci keamanan menciptakan key pair baru untuk penggunaan hanya AWS dengan. Pertama, Anda memasukkan kredensial Anda. Saat diminta, Anda mengetuk kunci keamanan, yang menanggapi tantangan otentikasi yang diterbitkan oleh. AWS Untuk mempelajari lebih lanjut tentang FIDO2 standar, lihat FIDO2Proyek
FIDO2perangkat yang didukung oleh AWS
IAMmendukung perangkat FIDO2 keamanan yang terhubung ke perangkat Anda melaluiUSB, Bluetooth, atauNFC. IAMjuga mendukung otentikator platform seperti TouchID atau FaceID. IAMtidak mendukung pendaftaran passkey lokal untuk Windows Hello. Untuk membuat dan menggunakan kunci sandi, pengguna Windows harus menggunakan otentikasi lintas perangkat
catatan
AWS memerlukan akses ke USB port fisik di komputer untuk memverifikasi FIDO2 perangkat Anda. Kunci keamanan tidak akan bekerja dengan mesin virtual, koneksi jarak jauh, atau mode penyamaran peramban.
FIDOAliansi menyimpan daftar semua FIDO2produk
Peramban yang mendukung FIDO2
Ketersediaan perangkat FIDO2 keamanan yang berjalan di browser web tergantung pada kombinasi browser dan sistem operasi. Peramban berikut saat ini mendukung penggunaan kunci keamanan:
Peramban web | macOS 10.15+ | Windows 10 | Linux | iOS 14.5+ | Android 7+ |
---|---|---|---|---|---|
Chrome | Ya | Ya | Ya | Ya | Tidak |
Safari | Ya | Tidak | Tidak | Ya | Tidak |
Edge | Ya | Ya | Tidak | Ya | Tidak |
Firefox | Ya | Ya | Tidak | Ya | Tidak |
catatan
Sebagian besar versi Firefox yang saat ini mendukung FIDO2 tidak mengaktifkan dukungan secara default. Untuk petunjuk tentang mengaktifkan FIDO2 dukungan di Firefox, lihatMemecahkan masalah kunci keamanan FIDO.
Untuk informasi selengkapnya tentang dukungan browser untuk perangkat FIDO2 -Certified seperti YubiKey, lihat Sistem operasi dan dukungan browser web untuk FIDO2 dan U2F
Plugin peramban
AWS hanya mendukung browser yang mendukung FIDO2 secara langsung. AWS tidak mendukung penggunaan plugin untuk menambahkan dukungan FIDO2 browser. Beberapa plugin browser tidak kompatibel dengan FIDO2 standar dan dapat menyebabkan hasil yang tidak terduga dengan kunci FIDO2 keamanan.
Untuk informasi tentang menonaktifkan plugin peramban dan tips pemecahan masalah lainnya, lihat Saya tidak dapat mengaktifkan kunci FIDO keamanan saya.
Sertifikasi perangkat lunak
Kami menangkap dan menetapkan sertifikasi terkait perangkat, seperti FIPS validasi dan tingkat FIDO sertifikasi, hanya selama pendaftaran kunci keamanan. Sertifikasi perangkat Anda diambil dari Layanan Metadata FIDO Aliansi
AWS menyediakan jenis sertifikasi berikut sebagai kunci kondisi selama pendaftaran perangkat, diperoleh dari FIDOMDS: FIPS -140-2, -140-3, dan FIPS tingkat sertifikasi. FIDO Anda memiliki kemampuan untuk menentukan pendaftaran autentikator tertentu dalam IAM kebijakan mereka, berdasarkan jenis dan tingkat sertifikasi pilihan Anda. Untuk informasi selengkapnya, lihat kebijakan di bawah.
Contoh kebijakan untuk sertifikasi perangkat
Kasus penggunaan berikut menunjukkan contoh kebijakan yang memungkinkan Anda mendaftarkan MFA perangkat dengan FIPS sertifikasi.
Topik
- Kasus penggunaan 1: Izinkan mendaftarkan hanya perangkat yang memiliki sertifikasi FIPS -140-2 L2
- Kasus penggunaan 2: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS -140-2 L2 dan L1 FIDO
- Kasus penggunaan 3: Izinkan mendaftarkan perangkat yang memiliki sertifikasi -140-2 L2 atau FIPS -140-3 L2 FIPS
- Kasus penggunaan 4: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS -140-2 L2 dan mendukung MFA jenis lain seperti otentikator virtual dan perangkat keras TOTP
Kasus penggunaan 1: Izinkan mendaftarkan hanya perangkat yang memiliki sertifikasi FIPS -140-2 L2
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } } ] }
Kasus penggunaan 2: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS -140-2 L2 dan L1 FIDO
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2", "iam:FIDO-certification": "L1" } } } ] }
Kasus penggunaan 3: Izinkan mendaftarkan perangkat yang memiliki sertifikasi -140-2 L2 atau FIPS -140-3 L2 FIPS
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L2" } } } ] }
Kasus penggunaan 4: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS -140-2 L2 dan mendukung MFA jenis lain seperti otentikator virtual dan perangkat keras TOTP
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Activate", "iam:FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "Null": { "iam:RegisterSecurityKey": "true" } } } ] }
AWS CLI dan AWS API
AWS mendukung penggunaan kunci sandi dan kunci keamanan hanya di. AWS Management Console Menggunakan kunci sandi dan kunci keamanan untuk MFA tidak didukung di AWS CLIdan AWS API
Sumber daya tambahan
-
Untuk informasi selengkapnya tentang penggunaan kunci sandi dan kunci keamanan AWS, lihatTetapkan kunci sandi atau kunci keamanan di AWS Management Console.
-
Untuk bantuan dalam memecahkan masalah kunci sandi dan kunci keamanan, lihat. AWSMemecahkan masalah kunci keamanan FIDO
-
Untuk informasi industri umum tentang FIDO2 dukungan, lihat FIDO2Proyek
.