Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazioni supportate per l'utilizzo di chiavi di accesso e chiavi di sicurezza
È possibile utilizzare passkey FIDO2 legate al dispositivo, note anche come chiavi di sicurezza, come metodo di autenticazione a più fattori (MFA) utilizzando le configurazioni attualmente supportate. IAM Questi includono i FIDO2 dispositivi supportati da e i browser che lo supportano. IAM FIDO2 Prima di registrare il FIDO2 dispositivo, verifica di utilizzare la versione più recente del browser e del sistema operativo (OS). Le funzionalità possono comportarsi in modo diverso a seconda dei diversi browser, autenticatori e client del sistema operativo. Se la registrazione del dispositivo non riesce su un browser, puoi provare a registrarti con un altro browser.
FIDO2è uno standard di autenticazione aperto e un'estensione di FIDO U2F, che offre lo stesso elevato livello di sicurezza basato sulla crittografia a chiave pubblica. FIDO2è costituito dalla specifica W3C Web Authentication (WebAuthn API) e dall'FIDOAlliance Client-to-Authenticator Protocol (), un protocollo a livello di applicazione. CTAP CTAPconsente la comunicazione tra client o piattaforma, come un browser o un sistema operativo, con un autenticatore esterno. Quando abiliti un autenticatore FIDO certificato AWS, la chiave di sicurezza crea una nuova coppia di chiavi da utilizzare solo con. AWS In primo luogo, è necessario immettere le credenziali. Quando richiesto, tocchi la chiave di sicurezza, che risponde alla sfida di autenticazione emessa da. AWSPer saperne di più sullo FIDO2 standard, consulta il FIDO2 Progetto.
FIDO2dispositivi supportati da AWS
IAMsupporta dispositivi FIDO2 di sicurezza che si connettono ai dispositivi tramite USB Bluetooth oNFC. IAMsupporta anche autenticatori di piattaforma come TouchID o FaceID. IAMnon supporta la registrazione locale delle passkey per Windows Hello. Per creare e utilizzare le passkey, gli utenti Windows devono utilizzare l'autenticazione tra dispositivi
Nota
AWS richiede l'accesso alla USB porta fisica del computer per verificare il dispositivo. FIDO2 Le chiavi di sicurezza non funzionano con una macchina virtuale, una connessione remota o la modalità di navigazione in incognito di un browser.
L'FIDOAlleanza mantiene un elenco di tutti i FIDO2prodotti
Browser che supportano FIDO2
La disponibilità dei dispositivi di FIDO2 sicurezza che funzionano in un browser Web dipende dalla combinazione di browser e sistema operativo. Attualmente i seguenti browser supportano l'uso delle chiavi di sicurezza:
| Browser | macOS 10.15+ | Windows 10 | Linux | iOS 14.5+ | Android 7+ |
|---|---|---|---|---|---|
| Chrome | Sì | Sì | Sì | Sì | No |
| Safari | Sì | No | No | Sì | No |
| Edge | Sì | Sì | No | Sì | No |
| Firefox | Sì | Sì | No | Sì | No |
Nota
La maggior parte delle versioni di Firefox che attualmente FIDO2 lo supportano non abilita il supporto per impostazione predefinita. Per istruzioni su come abilitare FIDO2 il supporto in Firefox, consultaRisolvere i problemi relativi FIDO alle chiavi di sicurezza.
Per ulteriori informazioni sul supporto dei browser per un dispositivo FIDO2 certificato, ad esempio YubiKey, vedi Supporto del sistema operativo e del browser web per FIDO2 U2F
Plug-in del browser
AWS supporta solo i browser che supportano nativamente. FIDO2 AWS non supporta l'utilizzo di plugin per aggiungere il supporto al FIDO2 browser. Alcuni plugin del browser sono incompatibili con lo FIDO2 standard e possono causare risultati imprevisti con FIDO2 le chiavi di sicurezza.
Per informazioni su come disabilitare i plug-in del browser e altri suggerimenti per la risoluzione dei problemi, consulta Non riesco ad abilitare la mia chiave FIDO di sicurezza.
Certificazioni dei dispositivi
Acquisiamo e assegniamo le certificazioni relative ai dispositivi, come la FIPS convalida e il livello di FIDO certificazione, solo durante la registrazione di una chiave di sicurezza. La certificazione del dispositivo viene recuperata dall'Alliance Metadata Service (). FIDO MDS
AWS fornisce i seguenti tipi di certificazione come chiavi di condizione durante la registrazione del dispositivo, ottenute dai livelli FIDOMDS: FIPS -140-2, FIPS -140-3 e di certificazione. FIDO È possibile specificare la registrazione di autenticatori specifici nelle relative IAM politiche, in base al tipo e al livello di certificazione preferiti. Per ulteriori informazioni, consulta le policy seguenti.
Policy di esempio per le certificazioni dei dispositivi
I seguenti casi d'uso mostrano policy di esempio che consentono di registrare MFA dispositivi con FIPS certificazioni.
Argomenti
- Caso d'uso 1: consenti la registrazione solo dei dispositivi con certificazioni FIPS -140-2 L2
- Caso d'uso 2: consentire la registrazione di dispositivi con certificazioni -140-2 L2 e L1 FIPS FIDO
- Caso d'uso 3: consentire la registrazione di dispositivi con certificazioni -140-2 L2 o -140-3 L2 FIPS FIPS
- Caso d'uso 4: consente la registrazione di dispositivi con certificazione FIPS -140-2 L2 e supporta altri tipi come autenticatori virtuali e hardware MFA TOTP
Caso d'uso 1: consenti la registrazione solo dei dispositivi con certificazioni FIPS -140-2 L2
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } } ] }
Caso d'uso 2: consentire la registrazione di dispositivi con certificazioni -140-2 L2 e L1 FIPS FIDO
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2", "iam:FIDO-certification": "L1" } } } ] }
Caso d'uso 3: consentire la registrazione di dispositivi con certificazioni -140-2 L2 o -140-3 L2 FIPS FIPS
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L2" } } } ] }
Caso d'uso 4: consente la registrazione di dispositivi con certificazione FIPS -140-2 L2 e supporta altri tipi come autenticatori virtuali e hardware MFA TOTP
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Activate", "iam:FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "Null": { "iam:RegisterSecurityKey": "true" } } } ] }
AWS CLI e AWS API
AWS supporta l'utilizzo di chiavi di accesso e chiavi di sicurezza solo in. AWS Management ConsoleL'utilizzo di passkey e chiavi di sicurezza per non MFA è supportato in AWS CLIand AWS APIo per l'accesso a MFA operazioni protette. API
Risorse aggiuntive
-
Per ulteriori informazioni sull'utilizzo delle passkey e delle chiavi di sicurezza in AWS, vedere. Assegna una passkey o una chiave di sicurezza nel AWS Management Console
-
Per informazioni sulla risoluzione dei problemi relativi alle passkey e alle chiavi di sicurezza in AWS, vedere. Risolvere i problemi relativi FIDO alle chiavi di sicurezza
-
Per informazioni generali sul settore dell'FIDO2assistenza, consulta FIDO2Project
.
