Konfigurasikan penegakan perangkat MFA - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan penegakan perangkat MFA

Gunakan prosedur berikut untuk menentukan apakah pengguna Anda harus memiliki perangkat MFA terdaftar saat masuk ke portal AWS akses.

Untuk mengonfigurasi penegakan perangkat MFA untuk pengguna Anda

  1. Buka konsol Pusat Identitas IAM.

  2. Pada panel navigasi kiri, pilih Pengaturan.

  3. Pada halaman Pengaturan, pilih tab Otentikasi.

  4. Di bagian Otentikasi multi-faktor, pilih Konfigurasi.

  5. Pada halaman Konfigurasi autentikasi multi-faktor, di bawah Jika pengguna belum memiliki perangkat MFA terdaftar, pilih salah satu pilihan berikut berdasarkan kebutuhan bisnis Anda:

    • Minta mereka mendaftarkan perangkat MFA saat masuk

      Ini adalah pengaturan default ketika Anda pertama kali mengkonfigurasi MFA untuk IAM Identity Center. Gunakan opsi ini ketika Anda ingin meminta pengguna yang belum memiliki perangkat MFA terdaftar, untuk mendaftarkan sendiri perangkat saat masuk setelah otentikasi kata sandi berhasil. Ini memungkinkan Anda untuk mengamankan AWS lingkungan organisasi Anda dengan MFA tanpa harus mendaftarkan dan mendistribusikan perangkat otentikasi secara individual kepada pengguna Anda. Selama pendaftaran mandiri, pengguna dapat mendaftarkan perangkat apa pun dari perangkat yang tersedia yang telah Tersedia tipe MFA untuk IAM Identity Center Anda aktifkan sebelumnya. Setelah menyelesaikan pendaftaran, pengguna memiliki opsi untuk memberikan nama ramah pada perangkat MFA mereka yang baru terdaftar, setelah itu IAM Identity Center mengarahkan pengguna ke tujuan aslinya. Jika perangkat pengguna hilang atau dicuri, Anda cukup menghapus perangkat itu dari akun mereka, dan IAM Identity Center akan meminta mereka untuk mendaftarkan sendiri perangkat baru selama login berikutnya.

    • Minta mereka untuk memberikan kata sandi satu kali yang dikirim melalui email untuk masuk

      Gunakan opsi ini ketika Anda ingin memiliki kode verifikasi yang dikirim ke pengguna melalui email. Karena email tidak terikat ke perangkat tertentu, opsi ini tidak memenuhi standar untuk otentikasi multi-faktor standar industri. Tapi itu meningkatkan keamanan karena memiliki kata sandi saja. Verifikasi email hanya akan diminta jika pengguna belum mendaftarkan perangkat MFA. Jika metode otentikasi Context-aware telah diaktifkan, pengguna akan memiliki kesempatan untuk menandai perangkat tempat mereka menerima email sebagai tepercaya. Setelah itu mereka tidak akan diminta untuk memverifikasi kode email pada login future dari perangkat, browser, dan kombinasi alamat IP tersebut.

      catatan

      Jika Anda menggunakan Active Directory sebagai sumber identitas yang diaktifkan IAM Identity Center, alamat email akan selalu didasarkan pada email atribut Active Directory. Pemetaan atribut Custom Active Directory tidak akan mengesampingkan perilaku ini.

    • Blokir login mereka

      Gunakan opsi Blokir Masuk Mereka saat Anda ingin menerapkan penggunaan MFA oleh setiap pengguna sebelum mereka dapat masuk. AWS

      penting

      Jika metode autentikasi Anda disetel ke Context-aware, pengguna dapat memilih kotak centang Ini adalah perangkat tepercaya di halaman login. Dalam hal ini, pengguna tersebut tidak akan diminta untuk MFA bahkan jika Anda mengaktifkan pengaturan Blokir masuk mereka. Jika Anda ingin pengguna ini diminta, ubah metode otentikasi Anda menjadi Selalu Aktif.

    • Izinkan mereka untuk masuk

      Gunakan opsi ini untuk menunjukkan bahwa perangkat MFA tidak diperlukan agar pengguna Anda masuk ke portal AWS akses. Pengguna yang memilih untuk mendaftarkan perangkat MFA masih akan diminta untuk MFA.

  6. Pilih Simpan perubahan.