Prasyarat Langkah 1: Buat kebijakan untuk menegakkan login MFA Langkah 2: Lampirkan kebijakan ke grup pengguna uji Anda Langkah 3: Uji akses pengguna Anda Sumber daya terkait

IAMtutorial: Izinkan pengguna untuk mengelola kredensi dan pengaturan mereka MFA

Anda dapat mengizinkan pengguna untuk mengelola perangkat dan kredensialnya sendiri multi-faktor autentikasi (MFA) di halaman Kredensial keamanan. Anda dapat menggunakan AWS Management Console untuk mengonfigurasi kredensi (kunci akses, kata sandi, sertifikat penandatanganan, dan kunci SSH publik), menghapus atau menonaktifkan kredenal yang tidak diperlukan, dan mengaktifkan MFA perangkat untuk pengguna Anda. Ini berguna untuk sejumlah kecil pengguna, tetapi tugas itu dapat dengan cepat memakan waktu seiring bertambahnya jumlah pengguna. Tutorial ini menunjukkan cara mengaktifkan praktik terbaik tersebut tanpa membebani administrator Anda.

Tutorial ini menunjukkan cara mengizinkan pengguna mengakses AWS layanan, tetapi hanya ketika mereka masukMFA. Jika mereka tidak masuk dengan MFA perangkat, maka pengguna tidak dapat mengakses layanan lain.

Alur kerja ini memiliki tiga langkah dasar.

Langkah 1: Buat kebijakan untuk menegakkan login MFA: Buat kebijakan yang dikelola pelanggan yang melarang semua tindakan kecuali beberapa IAM tindakan. Pengecualian ini memungkinkan pengguna untuk mengubah kredensialnya sendiri dan mengelola MFA perangkat mereka di halaman Kredensi Keamanan. Untuk informasi selengkapnya tentang mengakses halaman tersebut, lihat Cara pengguna IAM mengubah kata sandi mereka sendiri (konsol).
Langkah 2: Lampirkan kebijakan ke grup pengguna uji Anda: Buat grup pengguna yang anggotanya memiliki akses penuh ke semua EC2 tindakan Amazon jika mereka masukMFA. Untuk membuat grup pengguna seperti itu, Anda melampirkan kebijakan AWS terkelola yang disebut AmazonEC2FullAccess dan kebijakan terkelola pelanggan yang Anda buat pada langkah pertama.
Langkah 3: Uji akses pengguna Anda: Masuk sebagai pengguna uji untuk memverifikasi bahwa akses ke Amazon EC2 diblokir hingga pengguna membuat MFA perangkat. Pengguna kemudian dapat masuk menggunakan perangkat tersebut.

Prasyarat

Untuk melakukan langkah-langkah di tutorial ini, Anda harus sudah memiliki hal-hal berikut:

Sebuah Akun AWS yang dapat Anda masuki sebagai IAM pengguna dengan izin administratif.
Nomor ID akun Anda, yang Anda ketikkan ke dalam kebijakan di Langkah 1.

Untuk menemukan nomor ID akun Anda, di bilah navigasi di bagian atas halaman, pilih Dukungan lalu pilih Pusat Dukungan. Anda dapat menemukan ID akun Anda di menu Dukungan di halaman ini.
Perangkat virtual (berbasis perangkat lunak), kunci FIDO keamanan, atau MFA perangkat berbasis perangkat keras. MFA
IAMPengguna uji yang merupakan anggota grup pengguna sebagai berikut:

Nama pengguna	Instruksi nama pengguna	Nama grup pengguna	Tambahkan pengguna sebagai anggota	Instruksi grup pengguna
MFAUser	Pilih hanya opsi untuk Aktifkan akses konsol — opsional, dan tetapkan kata sandi.	EC2MFA	MFAUser	NOTLampirkan kebijakan apa pun atau berikan izin ke grup pengguna ini.

Langkah 1: Buat kebijakan untuk menegakkan login MFA

Anda mulai dengan membuat kebijakan terkelola IAM pelanggan yang menolak semua izin kecuali yang diperlukan bagi IAM pengguna untuk mengelola kredensi dan perangkat mereka sendiri. MFA

Masuk ke Konsol AWS Manajemen sebagai pengguna dengan kredensi administrator. Untuk mematuhi praktik IAM terbaik, jangan masuk dengan Pengguna root akun AWS kredensi Anda.

penting
IAMPraktik terbaik merekomendasikan bahwa Anda meminta pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara alih-alih menggunakan IAM pengguna dengan kredensi jangka panjang.
Buka IAM konsol di https://console.aws.amazon.com/iam/.
Di panel navigasi, pilih Kebijakan dan kemudian pilih Buat kebijakan.
Pilih JSONtab dan salin teks dari dokumen JSON kebijakan berikut:AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan.
Tempelkan teks kebijakan ke dalam kotak JSONteks. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Berikutnya.

catatan
Anda dapat beralih antara editor Visual dan JSONopsi kapan saja. Namun, kebijakan di atas mencakup unsur NotAction yang tidak didukung di editor visual. Untuk kebijakan ini, Anda akan melihat pemberitahuan di tab Editor visual. Kembali ke JSONuntuk terus bekerja dengan kebijakan ini.
Kebijakan contoh ini tidak mengizinkan pengguna untuk mengatur ulang kata sandi saat masuk AWS Management Console untuk pertama kalinya. Kami menyarankan Anda untuk tidak memberikan izin kepada pengguna baru sampai setelah mereka masuk dan mengatur ulang kata sandi mereka.
Pada halaman Tinjau dan buat, ketik Force_MFA nama kebijakan. Untuk deskripsi kebijakan, ketik This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA. Di area Tag, Anda dapat menambahkan pasangan nilai kunci tag secara opsional ke kebijakan yang dikelola pelanggan. Tinjau izin yang diberikan oleh kebijakan Anda, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Kebijakan baru muncul di daftar kebijakan terkelola dan siap dilampirkan.

Langkah 2: Lampirkan kebijakan ke grup pengguna uji Anda

Selanjutnya Anda melampirkan dua kebijakan ke grup IAM pengguna pengujian, yang akan digunakan untuk memberikan izin MFA -protected.

Di panel navigasi, pilih User groups (Grup pengguna).
Pada kotak pencarian, ketik EC2MFA, lalu pilih nama grup (bukan kotak centang) dalam daftar.
Pilih tab Izin, pilih Tambahkan izin, lalu pilih Lampirkan kebijakan.
Pada halaman Lampirkan kebijakan izin ke EC2MFA grup, di kotak pencarian, ketikEC2Full. Kemudian pilih kotak centang di sebelah Amazon EC2FullAccess dalam daftar. Jangan menyimpan perubahan Anda.
Di kotak pencarian, ketikForce, lalu pilih kotak centang di sebelah Paksa_ MFA dalam daftar.
Pilih Lampirkan kebijakan.

Langkah 3: Uji akses pengguna Anda

Di bagian tutorial ini, Anda masuk sebagai pengguna uji dan memverifikasi bahwa kebijakan berjalan sebagaimana mestinya.

Masuk ke Anda Akun AWS sebagai MFAUser dengan kata sandi yang Anda tetapkan di bagian sebelumnya. GunakanURL: https://<alias or account ID number>.signin.aws.amazon.com/console
Pilih EC2untuk membuka EC2 konsol Amazon dan verifikasi bahwa pengguna tidak memiliki izin untuk melakukan apa pun.
Di bilah navigasi di kanan atas, pilih nama MFAUser pengguna, lalu pilih Kredensi keamanan.
Sekarang tambahkan MFA perangkat. Di bagian Otentikasi Multi-faktor (MFA), pilih MFATetapkan perangkat.

catatan
Anda mungkin menerima kesalahan bahwa Anda tidak berwenang untuk melakukan iam:DeleteVirtualMFADevice. Ini bisa terjadi jika seseorang sebelumnya mulai menetapkan MFA perangkat virtual ke pengguna ini dan membatalkan prosesnya. Untuk melanjutkan, Anda atau administrator lain harus menghapus MFA perangkat virtual pengguna yang belum ditetapkan. Untuk informasi selengkapnya, lihat Saya tidak berwenang untuk melakukan: iam: DeleteVirtual MFADevice.
Untuk tutorial ini, kami menggunakan perangkat virtual (berbasis MFA perangkat lunak), seperti aplikasi Google Authenticator di ponsel. Pilih aplikasi Authenticator, lalu klik Berikutnya.

IAMmenghasilkan dan menampilkan informasi konfigurasi untuk MFA perangkat virtual, termasuk grafik kode QR. Grafik adalah representasi kunci konfigurasi rahasia yang tersedia untuk entri manual pada perangkat yang tidak mendukung kode QR.
Buka MFA aplikasi virtual Anda. (Untuk daftar aplikasi yang dapat Anda gunakan untuk hosting MFA perangkat virtual, lihat MFAAplikasi Virtual.) Jika MFA aplikasi virtual mendukung beberapa akun (beberapa MFA perangkat virtual), pilih opsi untuk membuat akun baru (MFAperangkat virtual baru).
Tentukan apakah MFA aplikasi mendukung kode QR, lalu lakukan salah satu hal berikut:
- Dari wizard, pilih Tampilkan kode QR. Lalu gunakan aplikasi untuk memindai kode QR. Misalnya, Anda dapat memilih ikon kamera atau memilih opsi yang mirip dengan Pindai kode, lalu gunakan kamera perangkat untuk memindai kode.
- Di wizard Siapkan perangkat, pilih Tampilkan kunci rahasia, lalu ketik kunci rahasia ke dalam MFA aplikasi Anda.
Setelah selesai, MFA perangkat virtual mulai menghasilkan kata sandi satu kali.
Di wizard Menyiapkan perangkat, di Masukkan kode dari aplikasi autentikator Anda. kotak, ketik kata sandi satu kali yang saat ini muncul di MFA perangkat virtual. PilihPendaftaranMFA.

penting
Kirim permintaan Anda segera setelah membuat kode. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirimkan permintaan, MFA perangkat berhasil dikaitkan dengan pengguna. Namun, MFA perangkat tidak sinkron. Ini terjadi karena kata sandi satu kali berbasis waktu (TOTP) kedaluwarsa setelah periode waktu yang singkat. Jika ini terjadi, Anda dapat menyinkronisasi ulang perangkat.

MFAPerangkat virtual sekarang siap digunakan AWS.
Keluar dari konsol lalu masuk sebagai MFAUser lagi. Kali ini AWS meminta Anda untuk MFA kode dari ponsel Anda. Saat Anda mendapatkannya, ketik kode di kotak, lalu pilih Kirim.
Pilih EC2untuk membuka EC2 konsol Amazon lagi. Perhatikan bahwa saat ini Anda dapat melihat semua informasi dan melakukan tindakan apa pun yang Anda inginkan. Jika Anda mengunjungi konsol lain sebagai pengguna ini, Anda melihat akses pesan yang ditolak. Alasannya adalah bahwa kebijakan dalam tutorial ini hanya memberikan akses ke AmazonEC2.

Sumber daya terkait

Untuk informasi tambahan, lihat topik berikut:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Gunakan tag SAML sesi untuk ABAC

Identitas