Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazioni supportate per l'utilizzo di chiavi di accesso e chiavi di sicurezza
È possibile utilizzare le passkey FIDO2 legate al dispositivo, note anche come chiavi di sicurezza, come metodo di autenticazione a più fattori (MFA) con IAM utilizzando le configurazioni attualmente supportate. Questi includono i dispositivi FIDO2 supportati da IAM e i browser che supportano FIDO2. Prima di registrare il dispositivo FIDO2, verifica di utilizzare la versione più recente del browser e del sistema operativo (OS). Le funzionalità possono comportarsi in modo diverso tra browser, autenticatori e client del sistema operativo. Se la registrazione del dispositivo non riesce su un browser, puoi provare a registrarti con un altro browser.
FIDO2 è uno standard di autenticazione aperto e un'estensione di FIDO U2F che offre lo stesso livello elevato di sicurezza basato sulla crittografia a chiave pubblica. FIDO2 è costituito dalla specifica di autenticazione Web (WebAuthn API) del W3C e dal protocollo FIDO Alliance Client-to-Authenticator (CTAP), un protocollo a livello di applicazione. CTAP consente la comunicazione tra client o piattaforma, come un browser o un sistema operativo, con un autenticatore esterno. Quando abiliti un autenticatore certificato FIDO AWS, la chiave di sicurezza crea una nuova coppia di chiavi da utilizzare solo con. AWS In primo luogo, è necessario immettere le credenziali. Quando richiesto, tocchi la chiave di sicurezza, che risponde alla sfida di autenticazione emessa da. AWS Per ulteriori informazioni sullo standard FIDO2, consulta la pagina Progetto FIDO2
Dispositivi FIDO2 supportati da AWS
IAM supporta i dispositivi di sicurezza FIDO2 che si connettono ai tuoi dispositivi tramite USB, Bluetooth o NFC. IAM supporta anche autenticatori di piattaforme come TouchID o FaceID. IAM non supporta la registrazione locale delle passkey per Windows Hello. Per creare e utilizzare le passkey, gli utenti Windows devono utilizzare l'autenticazione tra dispositivi
Nota
AWS richiede l'accesso alla porta USB fisica del computer per verificare il dispositivo FIDO2. Le chiavi di sicurezza non funzionano con una macchina virtuale, una connessione remota o la modalità di navigazione in incognito di un browser.
FIDO Alliance mantiene un elenco di tutti i prodotti FIDO2
Browser che supportano FIDO2
La disponibilità dei dispositivi di sicurezza FIDO2 che funzionano in un browser Web dipende dalla combinazione di browser e sistema operativo. I seguenti browser attualmente supportano l'uso delle chiavi di sicurezza:
macOS 10.15+ | Windows 10 | Linux | iOS 14.5+ | Android 7+ | |
---|---|---|---|---|---|
Chrome | Sì | Sì | Sì | Sì | No |
Safari | Sì | No | No | Sì | No |
Edge | Sì | Sì | No | Sì | No |
Firefox | Sì | Sì | No | Sì | No |
Nota
La maggior parte delle versioni di Firefox che attualmente supportano FIDO2 non abilitano il supporto per impostazione predefinita. Per istruzioni su come abilitare il supporto FIDO2 in Firefox, consulta. Risoluzione dei problemi relativi alle chiavi di sicurezza FIDO
Per ulteriori informazioni sul supporto del browser per un dispositivo certificato FIDO2, ad esempio YubiKey, vedi Supporto del sistema operativo e del browser web per FIDO2 e
Plug-in del browser
AWS supporta solo i browser che supportano nativamente FIDO2. AWS non supporta l'utilizzo di plugin per aggiungere il supporto per il browser FIDO2. Alcuni plugin del browser non sono compatibili con lo standard FIDO2 e possono causare risultati imprevisti con le chiavi di sicurezza FIDO2.
Per informazioni su come disabilitare i plug-in del browser e altri suggerimenti per la risoluzione dei problemi, consulta Non riesco ad abilitare la chiave di sicurezza FIDO.
Certificazioni dei dispositivi
Acquisiamo e assegniamo le certificazioni relative ai dispositivi, come la convalida FIPS e il livello di certificazione FIDO, solo durante la registrazione di una chiave di sicurezza. La certificazione del dispositivo viene recuperata dal FIDO Alliance Metadata Service (MDS)
AWS fornisce i seguenti tipi di certificazione come chiavi di condizione durante la registrazione del dispositivo, ottenute da FIDO MDS: livelli di certificazione FIDO, FIPS-140-2 e FIPS-140-3. Hai la possibilità di specificare la registrazione di autenticatori specifici nelle loro policy IAM, in base al tipo e al livello di certificazione che preferisci. Per ulteriori informazioni, consulta le policy seguenti.
Policy di esempio per le certificazioni dei dispositivi
I seguenti casi d'uso mostrano policy di esempio che consentono di registrare i dispositivi MFA con certificazioni FIPS.
Argomenti
- Caso d'uso 1: consentire la registrazione di dispositivi con certificazioni FIPS-140-2 L2
- Caso d'uso 2: consentire la registrazione di dispositivi con certificazioni FIPS-140-2 L2 o FIDO L1
- Caso d'uso 3: consentire la registrazione di dispositivi con certificazioni FIPS-140-2 L2 o FIPS-140-3 L2
- Caso d'uso 4: consenti la registrazione di dispositivi con certificazione FIPS-140-2 L2 e che supportano altri tipi di autenticazione a più fattori, come autenticatori virtuali e hardware TOTP
Caso d'uso 1: consentire la registrazione di dispositivi con certificazioni FIPS-140-2 L2
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } } ] }
Caso d'uso 2: consentire la registrazione di dispositivi con certificazioni FIPS-140-2 L2 o FIDO L1
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2", "iam:FIDO-certification": "L1" } } } ] }
Caso d'uso 3: consentire la registrazione di dispositivi con certificazioni FIPS-140-2 L2 o FIPS-140-3 L2
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L2" } } } ] }
Caso d'uso 4: consenti la registrazione di dispositivi con certificazione FIPS-140-2 L2 e che supportano altri tipi di autenticazione a più fattori, come autenticatori virtuali e hardware TOTP
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Activate", "iam:FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "Null": { "iam:RegisterSecurityKey": "true" } } } ] }
AWS CLI e AWS API
AWS supporta l'utilizzo di chiavi di accesso e chiavi di sicurezza solo in. AWS Management Console L'utilizzo di passkey e chiavi di sicurezza per MFA non è supportato nell'API AWS and
Risorse aggiuntive
-
Per ulteriori informazioni sull'utilizzo delle passkey e delle chiavi di sicurezza in, vedere. AWSAbilitazione di una passkey o di una chiave di sicurezza (console)
-
Per informazioni sulla risoluzione dei problemi relativi alle passkey e alle chiavi di sicurezza in AWS, vedere. Risoluzione dei problemi relativi alle chiavi di sicurezza FIDO
-
Per informazioni generiche sul supporto FIDO2, consulta la pagina del Progetto FIDO2
.