AWS Autenticazione a più fattori in IAM - AWS Identity and Access Management
MFAtipiMFAraccomandazioniRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Autenticazione a più fattori in IAM

Per una maggiore sicurezza, ti consigliamo di configurare l'autenticazione a più fattori (MFA) per proteggere le tue AWS risorse. Puoi abilitare MFA per gli IAM utenti Utente root dell'account AWS e. L'attivazione MFA per l'utente root ha effetto solo sulle credenziali dell'utente root. IAMgli utenti dell'account sono identità distinte con le proprie credenziali e ogni identità ha la propria configurazione. MFA

Tu Utente root dell'account AWS e i tuoi IAM utenti potete registrare fino a otto MFA dispositivi di qualsiasi tipo. La registrazione di più MFA dispositivi può offrire flessibilità e contribuire a ridurre il rischio di interruzione dell'accesso in caso di smarrimento o guasto di un dispositivo. È necessario un solo MFA dispositivo per accedere AWS Management Console o creare una sessione tramite. AWS CLI

Nota

Ti consigliamo di richiedere agli utenti umani di utilizzare credenziali temporanee durante l'accesso AWS. Hai preso in considerazione l'idea di utilizzarlo AWS IAM Identity Center? Puoi utilizzare IAM Identity Center per gestire centralmente l'accesso a più account Account AWS e fornire agli utenti un accesso Single Sign-On MFA protetto a tutti gli account assegnati da un'unica posizione. Con IAM Identity Center, puoi creare e gestire le identità degli utenti in IAM Identity Center o connetterti facilmente al tuo provider di identità compatibile con la SAML versione 2.0 esistente. Per ulteriori informazioni, vedi Cos'è IAM Identity Center? nella Guida AWS IAM Identity Center per l'utente.

MFAaggiunge un ulteriore livello di sicurezza che richiede agli utenti di fornire un'autenticazione unica tramite un MFA meccanismo AWS supportato oltre alle credenziali di accesso quando accedono a AWS siti Web o servizi.

MFAtipi

AWS supporta i seguenti MFA tipi:

Passkey e chiavi di sicurezza

AWS Identity and Access Management supporta passkey e chiavi di sicurezza per. MFA In base FIDO agli standard, le passkey utilizzano la crittografia a chiave pubblica per fornire un'autenticazione forte e resistente al phishing, più sicura delle password. AWS supporta due tipi di passkey: passkey legate al dispositivo (chiavi di sicurezza) e passkey sincronizzate.

  • Chiavi di sicurezza: si tratta di dispositivi fisici, come un YubiKey, utilizzati come secondo fattore di autenticazione. Una singola chiave di sicurezza può supportare più account e IAM utenti root.

  • Passkey sincronizzate: come secondo fattore utilizzano gestori di credenziali di provider come Google, Apple, account Microsoft e servizi di terze parti come 1Password, Dashlane e Bitwarden.

Puoi utilizzare gli autenticatori biometrici integrati, come Touch ID su Apple MacBooks, per sbloccare il gestore delle credenziali e accedere a. AWS Le passkey vengono create con il provider scelto utilizzando l'impronta digitale, il viso o il dispositivo. PIN Puoi sincronizzare le passkey tra i tuoi dispositivi per facilitare gli accessi e migliorare l'usabilità e la AWS recuperabilità.

IAMnon supporta la registrazione locale delle passkey per Windows Hello. Per creare e utilizzare le passkey, gli utenti Windows devono utilizzare l'autenticazione tra dispositivi (). CDA Puoi usare una CDA passkey da un dispositivo, ad esempio un dispositivo mobile o una chiave di sicurezza hardware, per accedere su un altro dispositivo, ad esempio un laptop.

L'FIDOAlleanza mantiene un elenco di tutti i prodotti FIDO certificati compatibili con le FIDO specifiche.

Per ulteriori informazioni sull'abilitazione delle passkey e delle chiavi di sicurezza, consultaAbilita una passkey o una chiave di sicurezza per l'utente root (console).

Applicazioni di autenticazione virtuale

Un'applicazione di autenticazione virtuale viene eseguita su un telefono o altro dispositivo ed emula un dispositivo fisico. Le app di autenticazione virtuale implementano l'algoritmo monouso password (TOTP) basato sul tempo e supportano più token su un singolo dispositivo. L'utente deve digitare un codice valido dal dispositivo quando richiesto durante l'accesso. Ogni token assegnato a un utente deve essere unico. Un utente non può digitare un codice dal token di un altro utente per l'autenticazione.

Ti consigliamo di utilizzare un MFA dispositivo virtuale in attesa dell'approvazione dell'acquisto dell'hardware o mentre aspetti l'arrivo dell'hardware. Per un elenco di alcune app supportate che puoi utilizzare come MFA dispositivi virtuali, vedi Autenticazione a più fattori (MFA).

Per istruzioni sulla configurazione di un MFA dispositivo virtuale per un IAM utente, consultaAssegna un MFA dispositivo virtuale nel AWS Management Console.

TOTPToken hardware

Un dispositivo hardware genera un codice numerico a sei cifre basato sull'algoritmo monouso password () basato sul tempo. TOTP L'utente deve immettere un codice valido dal dispositivo su una seconda pagina Web durante la procedura di accesso.

Questi token vengono utilizzati esclusivamente con. Account AWS Puoi utilizzare solo token con i loro token seed unici condivisi in modo sicuro. AWS I token seed sono chiavi segrete generate al momento della produzione dei token. I token acquistati da altre fonti non funzioneranno conIAM. Per garantire la compatibilità, è necessario acquistare il MFA dispositivo hardware da uno dei seguenti link: OTPtoken o scheda OTP video.

  • Ogni MFA dispositivo assegnato a un utente deve essere unico. Per essere autenticati, gli utenti non possono digitare un codice generato dal dispositivo di un altro utente. Per informazioni sui MFA dispositivi hardware supportati, vedete Autenticazione a più fattori (MFA).

  • Se desideri utilizzare un MFA dispositivo fisico, ti consigliamo di utilizzare le chiavi di sicurezza come alternativa ai TOTP dispositivi hardware. Le chiavi di sicurezza non richiedono batterie, sono resistenti al phishing e supportano più utenti su un singolo dispositivo.

È possibile abilitare una passkey o una chiave di sicurezza AWS Management Console solo dall'utente, non dalla AWS CLI sala operatoria. AWS API Prima di poter abilitare una chiave di sicurezza, è necessario disporre dell'accesso fisico al dispositivo.

Per istruzioni sulla configurazione di un TOTP token hardware per un IAM utente, consultaAssegna un TOTP token hardware nel AWS Management Console.

Nota

SMSbasato su messaggi di testo MFA: AWS è terminato il supporto per l'abilitazione dell'autenticazione a SMS più fattori (). MFA Consigliamo ai clienti con IAM utenti che utilizzano messaggi di SMS testo di MFA passare a uno dei seguenti metodi alternativi: chiave di accesso o chiave di sicurezza, dispositivo virtuale (basato su software) o dispositivo hardware. MFA MFA Puoi identificare gli utenti del tuo account con un dispositivo assegnato. SMS MFA Nella IAM console, scegli Utenti dal riquadro di navigazione e cerca gli utenti con i quali SMSnella MFAcolonna della tabella.

MFAraccomandazioni

Per proteggere la tua AWS identità, segui questi consigli per MFA l'autenticazione.

  • Ti consigliamo di abilitare più MFA dispositivi per IAM gli utenti Utente root dell'account AWS e gli utenti del tuo Account AWS. Ciò consente di innalzare il livello di sicurezza Account AWS e semplificare la gestione dell'accesso a utenti con privilegi elevati, come. Utente root dell'account AWS

  • Puoi registrare fino a otto MFA dispositivi di qualsiasi combinazione dei MFAtipi attualmente supportati con te Utente root dell'account AWS e con gli IAM utenti. Con più MFA dispositivi, è sufficiente un solo MFA dispositivo per accedere AWS Management Console o creare una sessione tramite AWS CLI l'annuncio utente. Un IAM utente deve autenticarsi con un MFA dispositivo esistente per abilitare o disabilitare un MFA dispositivo aggiuntivo.

  • In caso di smarrimento, furto o inaccessibilità MFA del dispositivo, è possibile utilizzare uno dei MFA dispositivi rimanenti per accedervi Account AWS senza eseguire la Account AWS procedura di ripristino. Se un MFA dispositivo viene smarrito o rubato, deve essere dissociato dal IAM principale a cui è associato.

  • L'uso di più dispositivi MFAs consente ai dipendenti che si trovano in sedi geograficamente dislocate o che lavorano in remoto di utilizzare sistemi hardware per l'accesso AWS senza dover coordinare lo MFA scambio fisico di un singolo dispositivo hardware tra i dipendenti.

  • L'uso di MFA dispositivi aggiuntivi per i IAM committenti consente di utilizzarne uno o più MFAs per l'uso quotidiano, mantenendo allo stesso tempo i MFA dispositivi fisici in un luogo fisico sicuro, come un caveau o in un luogo sicuro per il backup e la ridondanza.

Note

  • Non è possibile trasmettere le MFA informazioni relative a una chiave di FIDO sicurezza alle AWS STS API operazioni che richiedono credenziali temporanee.

  • Non è possibile utilizzare AWS CLI comandi o AWS API operazioni per abilitare le chiavi FIDO di sicurezza.

  • Non è possibile utilizzare lo stesso nome per più di una radice o un IAM MFA dispositivo.

Risorse aggiuntive

Le seguenti risorse possono aiutarti a saperne di più su IAMMFA.

  • Per ulteriori informazioni sull'utilizzo MFA per accedere AWS, vedereMFAaccesso abilitato.

  • Puoi sfruttare IAM Identity Center per consentire MFA l'accesso sicuro al portale di AWS accesso, alle app integrate di IAM Identity Center e al AWS CLI. Per ulteriori informazioni, consulta Abilita MFA in IAM Identity Center.